脅威リサーチ

脅威情報ニュースレター（2019 年 11 月 21 日）

TALOS Japan
2019年11月28日

脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

今年も年末年始のショッピングシーズンがやってきましたが、これは攻撃者にとっても繁忙期です。最新話の『Beers with Talos』エピソードでは、オンラインショッピングを安全に利用する方法や、偽の電子メールを見分ける方法について語っています。最新話では、米国での選挙戦に関する話題でも盛り上がっています。

年末まで残りもわずかですが、Talos Incident Response チームによる新シリーズのレポートでは、実際に発見された主な脅威を四半期ごとに振り返ります。シスコの会計年度における第 4 四半期で目立ったのはランサムウェアと暗号通貨マイナーです。

IR チームからは、新たな Cyber Range も今週発表されました。この中では、攻撃を避けてマルウェア感染などを防げるよう従業員をトレーニングできます。プログラムでは IR チームからの専門家も派遣されます。

来週の木曜日は米国の休日（感謝祭）となるため、脅威情報ニュースレターはお休みします。

今後予定されている Talos の公開イベント

イベント：「Reading Telegram messages abusing the shadows（Telegram のメッセージを傍受できる危険な手口）」at BSides Lisbon
開催地：Auditorio FMD-UL（ポルトガル、リスボン）
日付： 11 月 28 日～ 29 日
講演者： Vitor Ventura
骨子： 今日のデータセキュリティの一角を担うのは、エンドツーエンドの暗号化により通信を保護する Telegram などのメッセージアプリケーションです。しかし偽のアプリケーションもいくつか登場し、ユーザの監視目的で配布されています。この講演では、Telegram での登録プロセスを悪用することで、公式アプリを置き換えることなく、root 化されていない Android デバイスでもメッセージを傍受できる手口についてご紹介します。このようなサイドチャネル攻撃は、暗号化が万能作ではないことを裏付ける一例にすぎませんが、セキュリティを宣伝文句にしているアプリにとっては現実的な問題だと言えます。

イベント：「Signed, Sealed, Compromised: The Past, Present, and Future of Supply Chain Attacks（サプライチェーン攻撃の過去と現在と未来）」at CactusCon
開催地：Charleston Coliseum & Convention Center（ウェストバージニア州チャールストン）
日付： 12 月 6 日～ 7 日
講演者：Edmund Brumaghin、Earl Carter
骨子：サプライチェーン攻撃で見られる一般的な手法について解説します。サプライチェーン攻撃は広範なトピックですが、全体的に言えば過去 10 数年にわたって進化し続けています。サプライチェーン攻撃の仕組みや、これまでの進化の過程、そして今後に予想される手口について Nick と Edmund が説明します。

1 週間のサイバーセキュリティ概況

大きな注目を集めた iOS の脱獄「Checkra1n」、登場してから 1 週間が経過。リンク先の記事では、iPhone ユーザやセキュリティ研究者の間で倫理的なジレンマを引き起こしている理由について解説しています。
Google と Samsung の両社、攻撃者によりカメラを制御されかねない脆弱性を一部のスマートフォンで修正。しかし他社製の Android デバイスは依然として危険にさらされている可能性があります。
ルイジアナ州、ランサムウェア攻撃により複数の行政サービスが停止。攻撃から 2 日経った現在も、同州の自動車部門は復旧していません。ただし州当局者によると、身代金は一切支払われていません。
オーストラリア政府、モノのインターネット（IoT）デバイスを保護するための提案を公開。「スマートテレビ、時計やホームスピーカーなど、インターネットに接続する日常的なスマートデバイス」を保護するための内容で、企業に自発的な順守を求めています。
Google Play ストアに掲載の人気アプリについて、多くは既知のリモートコード実行の脆弱性に依然として脆弱だと判明。調査によると、これらのアプリは最近になって更新されていますが、公開済みの脆弱性が必ずしも修正されているとは限りません。
米国の裁判所に出頭した疑惑のハッカー、ロシア政府が自国への送還を強く要求。調査ではこの人物がロシア屈指のハッカーであり、「知りすぎている」ことをロシア政府が懸念している可能性を指摘しています。
Microsoft 社、Dopplepaymer malware is spreading through Microsoft Teams について「証拠がない」と否定。同社は Dopplemaymer の拡散経路について徹底的に調査しましたが、唯一考えられるのは、ドメイン管理者のログイン情報を使用したリモートオペレータだと述べています。
新たに提供が開始された「Disney+」ストリーミングサービス、多くのアカウントが盗まれダークサイトで販売される。しかしディズニー社側は、サーバが侵害されたことを示す証拠はないと述べています。

最近の注目すべきセキュリティ問題

件名：カスタマイズされたドロッパーにより、多様な情報摂取型マルウェアが配信される
説明：少なくとも 2019 年 1 月以降、カスタムドロッパーを使用して情報摂取型マルウェア（Agent Tesla、Loki-bot など）を配信する攻撃が増加しています。これらのドロッパーは、最終的なマルウェアを標的マシンの共通プロセスに挿入（インジェクション）します。マルウェアが侵入に成功すると、Google Chrome、Safari、Firefox などの Web ブラウザや他の一般的なソフトウェアから情報を盗み出せるようになります。使われているインジェクション手法は長らく存在する周知のものですが、攻撃者によってカスタマイズされています。このため、従来のウイルス対策ソフトウェアでは検出できないケースが目立っています。
Snort SID：52246

件名：Intel 社製の一部のグラフィックドライバーにサービス拒否の脆弱性が発見される
説明：Intel 社製の IGC64.dll グラフィックスドライバーに、サービス拒否の脆弱性が確認されました。攻撃者は、このグラフィックスドライバが VMware のゲストオペレーティングシステム内で動作している場合、不正な形式のピクセルシェーダを提供することで、このバグをエクスプロイトできます。この種の攻撃を VMware のゲストユーザモードから開始すると、ドライバでの境界外の読み取りによって、サービス妨害攻撃を引き起こすことができます。
Snort SID：50295、50296

今週最も多く見られたマルウェアファイル

SHA 256：7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5： 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名：xme64-2141.exe
偽装名：なし
検出名：W32.7ACF71AFA8-95.SBX.TG

SHA 256：3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5： 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名：qmreportupload
偽装名：qmreportupload
検出名：Win.Trojan.Generic::in10.talos

SHA 256：85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5： 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名：Eternalblue-2.2.0.exe
偽装名：なし
検出名：W32.WNCryLdrA:Trojan.22k2.1201

SHA 256：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5：e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名：N/A
検出名：W32.AgentWDCR:Gen.21gn.1201

SHA 256：f917be677daab5ee91dd3e9ec3f8fd027a58371524f46dd314a13aefc78b2ddc
MD5：c5608e40f6f47ad84e2985804957c342
一般的なファイル名：FlashHelperServices.exe
偽装名：Flash Helper Service
検出名：PUA:2144FlashPlayer-tpd