Cisco Japan Blog
Share

脅威情報ニュースレター(2019 年 10 月 31 日)


2019年11月13日


脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

今週取りあげる唯一のニュースは、過去最大級の発表です。火曜日に、Cisco Incident Response チームが Talos に統合されることが発表されました。Incident Response チームと Talos は長年にわたって連携してきましたが、今回の統合により、ますます緊密になります。Incident Response チームは Talos のインテリジェンスを活用できるようになる一方で、Talos は Incident Response チームのノウハウを吸収できます。

詳細については公式発表のブログ記事popup_iconをご覧ください。Talos Incident Response の概要記事popup_iconでは、Incident Response サービスについてご紹介しています。また TalosIntelligence.com の新しい Incident Response ページpopup_iconでは、お客様に向けた連絡先情報も記載されています。

今週の『Beers with Talos』ポッドキャストは特別版popup_iconです。Talos の Threat Interdiction チームから Amy Henderson が加わり、今回の統合のメリットについて語ります。

今後予定されている Talos の公開イベント

イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at  SecureWV/Hack3rCon Xpopup_icon
開催地:チャールストンコロセウム・コンベンションセンター(米国ウエストバージニア州チャールストン)
日付:11 月 15 日 ~ 17 日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワークプロトコルのひとつですが、他のネットワークプロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティアーキテクチャを簡単に破壊できる手段として、レッドチームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。

イベント:「Reading Telegram messages abusing the shadows(Telegram のメッセージを傍受できる危険な手口)」at BSides Lisbonpopup_icon 
開催地:Auditorio FMD-UL(ポルトガル、リスボン)
日付:11 月 28 日 ~ 29日
講演者:Vitor Ventura
骨子:今日のデータセキュリティの一角を担うのは、エンドツーエンドの暗号化により通信を保護する Telegram などのメッセージアプリケーションです。しかし偽のアプリケーションもいくつか登場し、ユーザの監視目的で配布されています。この講演では、Telegram での登録プロセスを悪用することで、公式アプリを置き換えることなく、root 化されていない Android デバイスでもメッセージを傍受できる手口についてご紹介します。このようなサイドチャネル攻撃は、暗号化が万能作ではないことを裏付ける一例にすぎませんが、セキュリティを宣伝文句にしているアプリにとっては現実的な問題だと言えます。

イベント:「Signed, Sealed, Compromised: The Past, Present, and Future of Supply Chain Attacks(サプライチェーン攻撃の過去と現在と未来)」at CactusConpopup_icon
開催地:Charleston Coliseum & Convention Center(ウェストバージニア州チャールストン)
日付: 12 月 6 日 ~ 7 日
講演者:Edmund Brumaghin、Earl Carter
骨子:サプライチェーン攻撃で見られる一般的な手法について解説します。サプライチェーン攻撃は広範なトピックですが、全体的に言えば過去 10 数年にわたって進化し続けています。サプライチェーン攻撃の仕組みや、これまでの進化の過程、そして今後に予想される手口について Nick と Edmund が説明します。

1 週間のサイバーセキュリティ概況

  • 「BlueKeep」の脆弱性、最初のエクスプロイト事例 が先週末に見つかる。暗号通貨マイナーをインストールするマルウェアを、セキュリティ研究者がハニーポット内で発見しました。 ただし「BlueKeep」の脆弱性による被害は、暗号通貨マイナーよりもはるかに深刻化する可能性があります。
  • 米国と台湾、初となるサイバー戦争の演習popup_iconを今週実施。今回の目的について台湾当局者は、北朝鮮などの国家が支援するサイバー攻撃に対して防御を固めるためだと述べています。
  • ロシアの国家情報局の長官、ロシアと米国がサイバーセキュリティに関する連携を再開したpopup_iconと最近の会議で言明。ロシア政府は、米国のセキュリティ専門家や CIA、FBI、DEA との間で連絡を取り合っていると主張しています。
  • Google 社、Google Play ストアで不正アプリを検出するため 3 つのサイバーセキュリティ企業popup_iconと提携を開始。Google 社による従来のマルウェア検出手法は、マルウェアの作成者によって破られてきました。
  • 2 人の Twitter 元従業員男性、サウジアラビアのスパイとして起訴popup_iconされる。サウジアラビアの反体制派に関する情報を特権的立場により収集した疑いが持たれています。
  • インディアナ州に設置されている 1 台の投票機に関して、有権者による投票が勝手に切り替えられたpopup_iconと報道される。数人の有権者から、タッチスクリーンで希望の候補者を選択できないとの証言が寄せられているほか、証拠のビデオも提示されています。選挙日当日に誤動作した投票機は他にも確認されています。
  • Apple 社、重大なリモートコード実行の脆弱性が複数発見された macOS「Catalina」と iOS に向けて修正プログラムをリリースpopup_icon。米国国土安全保障省は、一刻も早く更新するようにユーザに促しています。
  • 政治的背景を利用したマルウェアが増加中popup_icon。Talos は最近、米国のドナルド・トランプやロシアのプーチン大統領などの肖像を使用したランサムウェア、RAT、スクリーンロッカーなどを発見しました。

最近の注目すべきセキュリティ問題

件名:Use-after-free bug in Chrome could allow complete system takeoverpopup_icon
説明:Google 社では、Chrome に重大な解放済みメモリ使用(Use-After-Free)の脆弱性が見つかったため、できるだけ早く Web ブラウザーを更新するよう促しています。同社によると、脆弱性の更新プログラムが今週リリースされる予定です。今回の脆弱性(CVE-2019-13720)は Chrome のオーディオコンポーネントに存在しています。攻撃者により任意コードを実行されたり、任意コードの完全なリモート実行権限が攻撃者の手に渡ったりする危険性があります。
Snort SID52068、52069

件名:Investintech Able2Extract で 2 件のリモートコード実行の脆弱性が見つかる
説明: Cisco Talos は最近、Investintech 社製の Able2Extract Professional にリモートコード実行の脆弱性を 2 件発見しました。このソフトウェアは、Windows、Mac、Linux 用のクロスプラットフォーム PDF 変換ツールで、ユーザが PDF を作成したり編集したりすることができます。その他に、PDF への署名、改訂、注釈などの機能もあります。これらの脆弱性がエクスプロイトされると、侵入されたマシンで任意のコードが実行される危険性があります。
Snort SID50864 ~ 50869

今週最も多く見られたマルウェアファイル

SHA 256 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510popup_icon
MD5 4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
偽装名: なし
検出名: W32.7ACF71AFA8-95.SBX.TG

SHA 256 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD5 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos

SHA 256 6b01db091507022acfd121cc5d1f6ff0db8103f46a1940a6779dc36cca090854popup_icon
MD5 74f4e22e5be90d152521125eaf4da635
一般的なファイル名: jsonMerge.exe
偽装名: ITSPlatform
検出名: W32.GenericKD:Attribute.22lk.1201

SHA 256 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08popup_icon
MD5 db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名: xme32-2141-gcc.exe
偽装名: なし
検出名: W32.46B241E3D3-95.SBX.TG

SHA 256 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD5 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: Eternalblue-2.2.0.exe
偽装名: なし
検出名: W32.WNCryLdrA:Trojan.22k2.1201

本稿は 2019年11月7日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 31, 2019)popup_icon」の抄訳です。

コメントを書く