脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
今週のテーマはスパイウェアの脅威です。スパイウェアは政府レベルだけでなく、配偶者の居場所を追跡するなどの一般用途でも広く利用され始めています。スパイウェア自体は明確に法律で禁止されていないグレーエリアですが、違法な用途でも使用できます。
モバイルデバイスがスパイウェアに感染することを防ぐ方法とは?なぜスパイウェアの利用が広まっているのか?今週の記事ではそれらの疑問に答えます。
CISO アドバイザリシリーズで 2 つ目となる今週公開されたホワイトペーパーも、セキュリティアーキテクチャに焦点を当てています。
週ごとの「脅威のまとめ」もご覧いただけます。このまとめは、毎週金曜日の午後にブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecureWV/Hack3rCon X
開催地:チャールストンコロセウム・コンベンションセンター(米国ウエストバージニア州チャールストン)
日付:11 月 15 日 ~ 17 日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワークプロトコルのひとつですが、他のネットワークプロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティアーキテクチャを簡単に破壊できる手段として、レッドチームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
イベント:「Reading Telegram messages abusing the shadows(Telegram のメッセージを傍受できる危険な手口)」at BSides Lisbon
開催地:Auditorio FMD-UL(ポルトガル、リスボン)
日付:11 月 28 日 ~ 29日
講演者:Vitor Ventura
骨子:今日のデータセキュリティの一角を担うのは、エンドツーエンドの暗号化により通信を保護する Telegram などのメッセージアプリケーションです。しかし偽のアプリケーションもいくつか登場し、ユーザの監視目的で配布されています。この講演では、Telegram での登録プロセスを悪用することで、公式アプリを置き換えることなく、root 化されていない Android デバイスでもメッセージを傍受できる手口についてご紹介します。このようなサイドチャネル攻撃は、暗号化が万能作ではないことを裏付ける一例にすぎませんが、セキュリティを宣伝文句にしているアプリにとっては現実的な問題だと言えます。
1 週間のサイバーセキュリティ概況
- 悪名高いロシアのハッカー集団「Fancy Bear」、2020 年の東京オリンピックを標的にしている可能性が指摘される。新しい報告書は、これまでにも Fancy Bear がアンチドーピング機関を狙った攻撃を起こし、ある程度の成功を収めてきたと指摘しています。
- インドの大規模な原子力発電所、セキュリティ侵害されたことを認める。北朝鮮と関連のあるハッカー集団が、発電所の管理ネットワークにアクセスした模様です。データの流出については現時点で未公表です。
- ジョージア国内の Web サイトと国営テレビ局、大規模なサイバー攻撃により広範囲にダウン。ほとんどのサイトは、「また戻ってくる(I’ll be back)」という台詞を掲げるジョージア元大統領の画像に置き換えられました。
- 5 万台以上の Android デバイスで、新しいマルウェアファミリが検出。しかもこのマルウェアは削除後(初期状態にリセットした後も含む)も本体を再インストールできます。
- メッセージアプリの WhatsApp、 Android デバイスの生体認証をサポート。プロファイルにアクセスする際に指紋認証を利用できるようになりました。iOS 向けの WhatsApp では以前から指紋認証を利用できます。
- 新しい報告書、アジア各国の港に対するサイバー攻撃により 1,100 億ドルを超える被害が出る可能性を指摘。報告書を作成したのは保険会社で、日本、マレーシア、シンガポール、韓国、中国の 15 の港がサイバー攻撃を受けた場合の被害額を試算しています。
- 英国政府、終了間近の旧戦略に代わる新しい国家サイバーセキュリティ戦略を始動。以前のセキュリティ戦略は、12 の目標のうち 1 つしか達成していないと指摘されるなど、批判を集めてきました。
- 米国の非営利団体「Defending Digital Campaigns」、選挙陣営に向けた無料のサイバーセキュリティ プログラムを準備中。同団体の発表によると、選挙スタッフ向けに当初提供するセキュリティトレーニングは電子メールの保護やメッセージの暗号化といった分野になる予定です。
最近の注目すべきセキュリティ問題
件名:国家支援のモバイルマルウェアが相次いで登場
説明:新しい報告書では、国家支援の APT がモバイルマルウェアにより市民を監視していると指摘しています。BlackBerry 社のセキュリティ研究者は、中国、イラン、ベトナムおよび北朝鮮の各国で、モバイルマルウェアによる監視が行われていることを突き止めました。その背後にいる攻撃者には、モバイルとデスクトップの両方に対して新たな攻撃を開始した、悪名高いハッカー集団「OceanLotus」も含まれています。OceanLotus は、ユーザのデバイスを監視する不正アプリをモバイルストアで展開しています。
Snort SID:52004、52005
件名:VMWare Fusion でサービス拒否の脆弱性が確認される
説明:VMware Fusion 11 では、エクスプロイト可能なサービス拒否の脆弱性が確認されました。VMWare Fusion は macOS 向けのアプリケーションで、他の OS(Windows や Linux など)を仮想環境で実行できるのが特徴です。今回の脆弱性は、VMware のゲスト OS 内で不正なピクセルシェーダーをドライバーに提供することによりエクスプロイトされる可能性があります。脆弱性の影響を受けるのは VMware ホスト側で、VMware Fusion のプロセスがクラッシュする可能性があります。
Snort SID:50502、50503
今週最も多く見られたマルウェアファイル
SHA 256: 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5: 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
偽装名: なし
検出名: W32.7ACF71AFA8-95.SBX.TG
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos
SHA 256: 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5: db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名: xme32-2141-gcc.exe
偽装名: なし
検出名: W32.46B241E3D3-95.SBX.TG
SHA 256: 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: Eternalblue-2.2.0.exe
偽装名: なし
検出名: W32.WNCryLdrA:Trojan.22k2.1201
SHA 256: 6b01db091507022acfd121cc5d1f6ff0db8103f46a1940a6779dc36cca090854
MD5: 74f4e22e5be90d152521125eaf4da635
一般的なファイル名: jsonMerge.exe
偽装名: ITSPlatform
検出名: W32.GenericKD:Attribute.22lk.1201
本稿は 2019年10月31日に Talos Group
Authors