脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
クリスマスを目前に控えた今週、Talos のポッドキャストに新シリーズ『Talos Takes』が登場しました。新シリーズは短編番組として構成され、特定のトピックやセキュリティニュースを Talos のメンバーが交代で短く解説します。最初の 3 話はすでに Talos podcasts page と『Beers with Talos』のフィードで公開されています。2020 年からは『Talos Takes』が独自のフィードで配信されます。
『Beers with Talos』の新エピソードも公開されました。年末年始でお時間のある際に、ぜひお聴きください。最新エピソードでは、Talos Outreach チームの Joe Marshall を特別ゲストに迎え、IoT と ICS のセキュリティについて掘り下げています。
一年の締め括りとして、2019 年に最も注目を集めたマルウェア・サイバーニュース記事を こちらのブログ記事で公開しました。一年を振り返るのに最適な記事です。
シスコでは来週から年末年始の休業に入ります。次号は 1 月 9 日の予定です。それではよいお年をお迎えください。
1 週間のサイバー セキュリティ概況
- ニューオーリンズ市、サイバー攻撃に襲われた数日後に緊急事態を宣言。多くの行政サービスがダウンしましたが、消防や警察などの緊急サービスは影響を受けていません。市の関係者によると、FBI の支援を受けて普及と調査が進められています。
- 同時期に攻撃を受けたフロリダ州ペンサコーラ市、自力の復旧作業が現在も続く。同市は外部の企業を雇い、襲ったランサムウェアの種類や推奨される復旧方法についての調査を始めました。
- 米国議会、選挙でのセキュリティを改善するために 4 億 2500 万の予算を承認。しかし一部の議員やセキュリティ専門家は、2020 年の大統領選挙に間に合わないと指摘しています。
- GSuite では、安全性の低いアプリケーション(LSA)が段階的に禁止される予定。ユーザ名とパスワードのみを使用して Google アカウントにアクセスできるサードパーティ製アプリケーションが LSA と見なされ、2020 年 6 月から段階的に利用できなくなります。安全なアプリケーションだと見なされるには OAuth トークンを使用する必要があります。
- セキュリティカメラ「Ring」、一連のセキュリティ問題が続いたことで非難が殺到中。新しい IP アドレスからのログインや同一アカウントでの複数ログインが起きても警告しないなど、Ring では重要なセキュリティ機能が欠如しています。
- 「Ring」に非難が殺到していることを受けて、親会社の Amazon 社が声明を発表。ハッキングされたケースの大半は安全でないユーザ名とパスワードの組み合わせが使われていたことが原因だと述べています。同社は二要素認証の使用を勧めています。
- カナダの検体検査機関 LifeLabs 社、最近の攻撃により 1,500 万人の個人情報が不正アクセスされたと発表。同社はデータを取り戻すため身代金を支払いました。同社は、問題のデータが他の攻撃で使用されることを(身代金の支払いにより)防いだと述べています。
- Android 向け Chrome ブラウザで他のアプリのデータを消すバグが発見される。これを受けて Google 社は緊急アップデートをリリースしました。問題となった Chrome 79 のバグにより、Chrome とは完全に無関係なアプリ(金融機関のアプリなども含む)から情報が消える事態が起きていました。
- Microsoft 社、SharePoint 向けに緊急のセキュリティ更新プログラムをリリース。問題の脆弱性(CVE-2019-1491)では攻撃者が機密情報を取得し、その情報を追加の攻撃に利用できる可能性があります。
最近の注目すべきセキュリティ問題
件名:医療セクターやハイテク企業を狙う新しい「サービスとしてのマルウェア」ファミリが登場
説明:米国とヨーロッパの医療セクターとハイテク企業を狙うマルウェア「Zeppelin」が登場しました。「サービスとしてのランサムウェア」ファミリ「Vega」の亜種だと考えられています。Vega は 2019 年初旬に登場し、ロシア語を話すユーザを標的にしていました。しかし今では別の攻撃者の手に渡り、他のユーザも標的にしている模様です。Zeppelin はカスタマイズできる範囲が非常に広く、EXE や DLL 形式のほか、PowerShell ローダーに紛れ込ませて配信することもできます。
Snort SID:52451 ~ 52453(作成者:Nicholas Mavis)
件名:Gamaredon attacks spread to Ukrainian journalists, law enforcement agencies
説明:有名な APT が標的を拡大し、現在はウクライナのジャーナリストと法執行機関を狙っています。マルウェアでロシア語が使用されていることから、ロシア政府の関与が疑われています。以前はウクライナ軍と政府機関を標的にしていました。テンプレート インジェクションなど、攻撃者は新たな TTP を使用しています。
Snort SID:52445 ~ 52448(作成者:Joanne Kim)
今週最も多く見られたマルウェアファイル
SHA 256:d73ea76f6f07f96b337335213418b58e3fbc7e4b519fec0ef3fbd19c1d335d81
MD5:5142c721e7182065b299951a54d4fe80
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::1201
SHA 256:0cdd2a671195915d9ffb5c9533337db935e0cc2f4d7563864ea75c21ead3f94
MD5:7c38a43d2ed9af80932749f6e80fea6f
一般的なファイル名:xme64-520.exe
偽装名:なし
検出名:PUA.Win.File.Coinminer::1201
SHA 256:1c3ed460a7f78a43bab0ae575056d00c629f35cf7e72443b4e874ede0f305871
MD5: c2406fc0fce67ae79e625013325e2a68
一般的なファイル名:SegurazoIC.exe
偽装名:Digital Communications Inc.
検出名:PUA.Win.Adware.Ursu::95.sbx.tg
SHA 256:f917be677daab5ee91dd3e9ec3f8fd027a58371524f46dd314a13aefc78b2ddc
MD5:c5608e40f6f47ad84e2985804957c342
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名: PUA:2144FlashPlayer-tpd
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
Talos からの最新情報は Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2019年12月19日に Talos Group のブログに投稿された「hreat Source newsletter (Dec. 19, 2019)」の抄訳です。