Cisco Japan Blog

脅威情報ニュースレター(2019 年 11 月 14 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

今週はバグが多く発見、報告された週でした。Talos にとって今週最大のニュースは Microsoft 社の月例セキュリティ更新プログラムpopup_iconです。公開された脆弱性については定例の記事でも取りあげていますが、2 件は Talos が発見した脆弱性です。他にも、一部の Intel 社製グラフィックドライバpopup_iconExhibitor の Web ユーザインターフェイスpopup_iconでリモートコード実行の脆弱性をそれぞれ 1 件発見しました。

最近では、マルウェアの検出を防ぐために「Living off the land(環境寄生)」バイナリを使用するケースが増えていることを確認しました。今週の記事では、これらのいわゆる「LoLBinspopup_icon」を検出する方法について説明し、Talos が発見した実際の攻撃を例に解説しています。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認、ブロックした主な脅威についてまとめています。

今後予定されている Talos の公開イベント

イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at  SecureWV/Hack3rCon Xpopup_icon
開催地:チャールストンコロセウム・コンベンションセンター(米国ウエストバージニア州チャールストン)
日付:11 月 15 日 ~ 17 日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワークプロトコルのひとつですが、他のネットワークプロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティアーキテクチャを簡単に破壊できる手段として、レッドチームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。

イベント:「Reading Telegram messages abusing the shadows(Telegram のメッセージを傍受できる危険な手口)」at BSides Lisbonpopup_icon 
開催地:Auditorio FMD-UL(ポルトガル、リスボン)
日付:11 月 28 日 ~ 29日
講演者:Vitor Ventura
骨子:今日のデータセキュリティの一角を担うのは、エンドツーエンドの暗号化により通信を保護する Telegram などのメッセージアプリケーションです。しかし偽のアプリケーションもいくつか登場し、ユーザの監視目的で配布されています。この講演では、Telegram での登録プロセスを悪用することで、公式アプリを置き換えることなく、root 化されていない Android デバイスでもメッセージを傍受できる手口についてご紹介します。このようなサイドチャネル攻撃は、暗号化が万能作ではないことを裏付ける一例にすぎませんが、セキュリティを宣伝文句にしているアプリにとっては現実的な問題だと言えます。

イベント:「Signed, Sealed, Compromised: The Past, Present, and Future of Supply Chain Attacks(サプライチェーン攻撃の過去と現在と未来)」at CactusConpopup_icon
開催地:Charleston Coliseum & Convention Center(ウェストバージニア州チャールストン)
日付: 12 月 6 日 ~ 7 日
講演者:Edmund Brumaghin、Earl Carter
骨子:サプライチェーン攻撃で見られる一般的な手法について解説します。サプライチェーン攻撃は広範なトピックですが、全体的に言えば過去 10 数年にわたって進化し続けています。サプライチェーン攻撃の仕組みや、これまでの進化の過程、そして今後に予想される手口について Nick と Edmund が説明します。

1 週間のサイバーセキュリティ概況

  • Microsoft 社、カリフォルニア州で制定された新しいプライバシー保護法popup_iconに米国全土で準拠すると発表。同州の「消費者プライバシー法(Consumer Privacy Act)」では、企業が収集する個人データや、それらのデータの販売状況と販売先について、消費者に通知することが求められます。また、個人データの販売を全面的に拒否する権利が消費者に与えられます。
  • Adobe 社、月例のセキュリティ更新プログラムで緊急の脆弱性popup_iconを 3 件修正。この中には Adobe Media Encoder で発見された 2 件の脆弱性が含まれています。その他に 8 件の「重要」な脆弱性も修正されています。
  • Intel 社製の「Cascade Lake」シリーズの CPU、Zombieload v2 exploitpopup_icon に対して脆弱だと確認される。同社は今週、脆弱性を修正するためのセキュリティ更新プログラムをリリースしました。今回の発見は、攻撃の進化により最新のハードウェアでさえも標的になる危険性を裏付けています。
  • Google 社、米国で数百万人分の医療データを無断で収集していたpopup_iconと報じられる。同社は「Project Nightengale」というコードネームのもと、医療機構の「Ascencion」 と連携して 21 の州で医療データを収集していたようです。
  • 英国の労働党、今週に 2 件のサイバー攻撃popup_icon(いずれも分散型サービス妨害攻撃)を受けたと公表。党幹部によると、現段階でデータ漏洩は確認されていません。
  • メキシコの国営石油企業 Petroleos Mexicanos 社、ランサムウェア攻撃popup_iconを受けて手動課金に切り替える必要が生じたと発表。「Pemex」として知られている同社によると、攻撃から 24 時間以上が経った今も従業員が電子メールやインターネットにアクセスできない状態が続いています。
  • Facebook 社、スパムメッセージの取締りpopup_iconを強化。同社の Instagram でも同様の取り組みが始まっています。しかし攻撃者がアカウントを不正使用し、何千ドルもの広告スペースを購入するケースに歯止めがかかっていません。
  • 米国連邦取引委員会(FTC)、22 ヵ月以上もデータ漏洩を発見できなかったpopup_iconとして、ユタ州を拠点とする企業を提訴。攻撃者のデータが詰まったハードドライブの空き容量を使い果たすまで、同社は感染に気付きませんでした。
  • iPhone がハッキングされた場合に所有者に警告する新しいアプリpopup_iconが登場。このアプリは、iPhone のハッキングやジェイルブレイク(脱獄)によって引き起こされる「副作用」をスキャンします。
  • イランの有名なハッカー集団「APT33」、独自の VPN を確立させてpopup_icon少なくとも 22 のノードを稼働中。APT33 はデータ消去マルウェア「Shamoon」を開発したことで知られています。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、月例のセキュリティ更新プログラムで 13 件の「緊急」なバグを修正popup_icon
説明:Microsoft 社は本日、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。最新のセキュリティ更新プログラムでは 75 件の脆弱性が公開されています。そのうち 13 件が「緊急」、他の 62 件が「重要」と評価されています。今月のセキュリティ更新プログラムでは、スクリプトエンジン、Windows Hyper-V ハイパーバイザ、Win32 などの同社製品とサービスで確認されたセキュリティの問題が修正されています。これらの脆弱性のうち CVE-2019-1448(Microsoft Excel でリモートでコードが実行される脆弱性)は、Cisco Talos が発見したものです。
Snort SID46548、46549、52205 ~ 52209、52212、52213、52216、52217 ~ 52225、52228 ~ 52234、52239、52240

  

件名:LEADTOOLS ツールキットに、リモートコード実行の脆弱性を含む複数の脆弱性を発見 popup_icon
説明:Cisco Talos は最近、一連の画像処理製品「LEADTOOLS」に複数の脆弱性を発見しました。LEADTOOLS は、「画像処理」、「文書管理」、「医療画像」の 3 つの製品ファミリーの総称です。LEADTOOLS は全面的に LEAD Technologies Inc. によって作成されています。LEADTOOLS は事前構築済みのポータブルライブラリを備えているほか、大半の主要プラットフォーム(Windows、Linux、Android など)に向けて SDK を提供しています。これらのライブラリの中心目的は、医療システム向けのアプリケーションを構築することです。LEADTOOLS の各部では、攻撃者によってエクスプロイトされる可能性のある脆弱性が発見されました。サービス拒否状態や任意コードのリモート実行など、さまざまな被害を招く危険性があります。
Snort SID50824 – 50827, 51930-51938, 51447, 51448

今週最も多く見られたマルウェアファイル

SHA 2567acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510popup_icon
MD5 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:なし
検出名: W32.7ACF71AFA8-95.SBX.TG

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD5 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 2566b01db091507022acfd121cc5d1f6ff0db8103f46a1940a6779dc36cca090854popup_icon
MD5 74f4e22e5be90d152521125eaf4da635
一般的なファイル名:jsonMerge.exe
偽装名:ITSPlatform
検出名:W32.GenericKD:Attribute.22lk.1201

SHA 25646b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08popup_icon
MD5 db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名:なし
検出名:W32.46B241E3D3-95.SBX.TG

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD5 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.WNCryLdrA:Trojan.22k2.1201

 

本稿は 2019年11月14日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Nov. 14, 2019)popup_icon」の抄訳です。

コメントを書く