脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
感謝祭を平穏のもとに楽しめたことと存じます。ホリデーのショッピングシーズンがいよいよ本格化し、実店舗やオンラインストアは買い物客でにぎわいます。ということは、攻撃者にとっては格好の時期ともなるわけです。このホリデーシーズンに安全な買い物をするためのヒントについては、こちらから Talos のブログ記事をご覧ください。
脆弱性の話題に事欠かないあわただしい週でもありました。Talos は、Forma Learning Management System と Accusoft ImageGear、EmbedThis 社の GoAhead Web Server に存在するバグを発見し、防御機能をリリースしました。
また、明日のための特別なサプライズもあります。Talos のブログ、ソーシャルメディア、ポッドキャストから目を離せなくなることも考えられます。
今後予定されている Talos の公開イベント
イベント:「Signed, Sealed, Compromised: The Past, Present, and Future of Supply Chain Attacks(サプライチェーン攻撃の過去と現在と未来)」at CactusCon
開催地:Charleston Coliseum & Convention Center(ウェストバージニア州チャールストン)
日付:12 月 6 日~ 7 日
講演者:Edmund Brumaghin、Earl Carter
骨子:サプライチェーン攻撃で見られる一般的な手法について解説します。サプライチェーン攻撃は広範なトピックですが、全体的に言えば過去 10 数年にわたって進化し続けています。サプライチェーン攻撃の仕組みや、これまでの進化の過程、そして今後に予想される手口について Nick と Edmund が説明します。
1 週間のサイバー セキュリティ概況
- イタリアのスパイウェア開発企業である Hacking Team 社は、2015 年に事件に遭遇し現在では新たな所有者のもとに復帰しています。新しい経営陣は、同社のテクノロジーが悪用されないように取り組んでいることを言明しています。
- スパイツールを販売する有名なダーク Web サイトは、国際的な捜査の後に閉鎖されました。英国の警察当局者によると、14,500 人以上もの顧客がこのサイトからソフトウェアを購入し、その多くがコンピュータの不正利用の罪で起訴されています。
- SMS に取って代わるはずのメッセージング標準である RCS には、各種の攻撃に対する脆弱性が存在しています。RCS はさらに高度になっているという宣伝にもかかわらず、攻撃者はそれを悪用してテキストメッセージを盗み、電話での通話を傍受できる可能性があります。
- バグバウンティのスタートアップ企業である HackerOne 社は、同社が誤って不適切なアクセス権を与えた独立系のセキュリティ研究者に2 万ドルの報奨金を与えました。あるアナリストがコミュニティメンバーに cURL コマンドを送信したことで、そのアナリストが取り組んだすべてのバグレポートにユーザがアクセスできるようになりました。
- Magecart のクレジット カードスキミング マルウェアの背後に潜む攻撃者は、Salesforce の Heroku プラットフォームを使用して、スクリプトと盗んだ情報をホストしていました。このグループは、無料の Heroku アカウントに登録し、無料の Web ホスティングサービスとして使用していました。
- ベンチャーキャピタル企業がイスラエルのスタートアップ企業に電信送金しようとしていたときに、中国のハッカーが 100 万ドルを盗んだことが報道されています。このグループは、中間者攻撃手法を利用して、両方の企業からの電子メールを偽装していました。
- 米国のデータセンタープロバイダーである CyrusOne 社は、Sodinokibi ファミリに属していると思われるランサムウェアの攻撃を受けました。同社は、28 日の午前中の時点では何も公表していませんでしたが、攻撃から回復するために警察当局と連携していると伝えられています。
- 製薬会社の Merck 社は、サイバー保険を提供している企業に対して、2017 年に NotPetya に感染した影響から回復するために誰が支払うべきかという一件で、係争を続けています。この攻撃が保険の対象となるかどうかについては、NotPetya を戦争行為と見なせるかという問題に集約されます。
- iPhone 11 Pro は、ユーザがすべてのアプリに対して位置データへのアクセスを禁じている場合でも、その位置データにアクセスしようとします。これに対して Apple 社は、単にデバイス設計の一環であると述べています。
- FBI は、新しいスマートテレビがサイバー攻撃にさらされるリスクがあることをユーザに知らせる警告を発表しました。この警告では、攻撃者がテレビにアクセスし、テレビの設定を変更したり、不適切なコンテンツを表示したりする可能性さえあると述べています。
最近の注目すべきセキュリティ問題
件名:Forma LMS オープンソースプログラムに SQL インジェクション攻撃に対する脆弱性が存在することを発見
説明:Forma Learning Management System の認証された部分に、SQL インジェクション攻撃に対する脆弱性が 3 つ存在します。LMS は、企業が従業員向けにさまざまなトレーニングコースを開発してホストできるようにサポートする一連のソフトウェアです。このソフトウェアは、オープンソースのライセンスモデルで動作し、現在は Forma が管理しています。攻撃者は、SQL インジェクション攻撃を含むパラメータとともに Web リクエストを送信し、これらのバグをトリガーすることができます。
Snort SID:51611 ~ 51619(作成者:Marcos Rodriguez)
件名:Accusoft ImageGear PNG IHDR width code execution vulnerability
説明:Accusoft ImageGear に、リモートからコードを実行できる脆弱性が 2 つ存在しています。ImageGear は、Accusoft 社が提供しているドキュメント/画像処理ライブリです。アプリケーションの開発に利用でき、ドキュメント/画像に関するライフサイクル全体の処理が含まれています。発見された脆弱性は、ドキュメント/画像処理開発ツールキットである Accusoft ImageGear ライブラリに存在しています。
Snort SID:3132、32889、50806、50807、51530、51531、52033、52034(作成者:Kristen Houser、Mike Bautista)
今週最も多く見られたマルウェアファイル
SHA 256:f917be677daab5ee91dd3e9ec3f8fd027a58371524f46dd314a13aefc78b2ddc
MD5:c5608e40f6f47ad84e2985804957c342
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA:2144FlashPlayer-tpd
SHA 256:a97e5396d7dcd103138747ad09486671321fb75e01a70b26c908e7e0b727fad1
MD5:ef048c07855b3ef98bd991c413bc73b1
一般的なファイル名:xme64-501.exe
偽装名:N/A
検出名:PUA.Win.Dropper.Razy::tpd
SHA 256:49b9736191fdb2eb62b48e8a093418a2947e8d288f39b98d65a903c2ae6eb8f5
MD5:df432f05996cdd0973b3ceb48992c5ce
一般的なファイル名:xme32-501-gcc.exe
偽装名:N/A
検出名:W32.49B9736191-100.SBX.TG
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6
MD5:f7145b132e23e3a55d2269a008395034
一般的なファイル名:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6.bin
偽装名:N/A
検出名:Unix.Exploit.Lotoor::other.talos
本稿は 2019年12月5日に Talos Group のブログに投稿された「Threat Source newsletter (Dec. 5, 2019)/a>」の抄訳です。