脅威情報ニュースレター(2020 年 2 月 20 日)
脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
Talos ではコンテンツを精力的に拡大しています。新たな YouTube シリーズ『現場での事例』の第 2 話では、インシデント対応で弁護士を参加させるべきタイミングについて Matt Aubert が説明しています。
今週は『Talos Takes
』や『Beers with Talos』シリーズのポッドキャストでも、新しいエピソードが追加されました。
さらに今週は、攻撃者が使用している環境寄生型バイナリ(「LoLBins」とも呼ばれる)に関する Talos の最新調査について解説しました。調査した一連の攻撃では、感染後のアクティビティを Microsoft ビルドエンジンを使用して実行しています。
最新の脅威のまとめ記事では、過去 1 週間に最も多く検知され、ブロックされた脅威についてまとめています。
今後予定されている公開イベント
イベント:Cisco Live Australia
会場:Melbourne Convention & Exhibition Centre(オーストラリア、メルボルン)
会期:3 月 3 ~ 6 日
講演者:Nick Biasini
骨子:Cisco Talos は、セキュリティなネットワークの維持に欠かせない早期警告インテリジェンスと脅威分析を専門としています。攻撃者がスキルを高め、セキュリティ脅威の構図が絶えず変化している中で、ネットワーク防衛の重要な一角を成しています。Talos は、データの集約、セキュリティ専門家チームとの連携、そしてセキュリティに対する最先端のビッグデータテクノロジーの応用により、シスコのセキュリティ製品全体の効力を引き上げてきました。今回の講演では Nick が登壇し、昨今の脅威を詳細に分析します。製品の向上とリスク軽減のために大規模なデータセットを活用する Talos での取り組みについても解説します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(「脅威環境における攻撃者の進化」、Interop Tokyo 2020)
会場:幕張メッセ
会期:4 月 13 日 ~ 15 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 米国の司法当局、複数のサイバーエージェンシーと協力し、北朝鮮が関与する大規模攻撃についての報告を公表。報告の中では、追跡した 6 種類のマルウェアサンプルと、悪名高い Lazarus グループとの関係が説明されています。
- Cyber Threat Alliance の新しいレポートでは、北朝鮮、ロシア、中国による国家ぐるみの攻撃が 2020 年東京オリンピックへの脅威となるとして警告。情報操作や、五輪競技に直結する主要なサービスへの攻撃などが起こり得ると指摘しています。
- 米国政府、中国のテクノロジー企業 Huawei 社と激しい応酬を展開。他国に対しては、同社の 5G 技術を使用した場合、情報共有協定を破棄する可能性があるとも警告しています。
- 人気の高い WordPress プラグインで重大な脆弱性が発覚。20 万以上のサイトが完全に消去されるリスクを抱えています。攻撃者は、サイトに対して細工されたリクエストをリモートで送信することで、プラグインの消去機能をトリガーできる可能性があります。
- Amazon 社、スマートテレビドアホンで二要素認証を必須化。数か月前には、同社製デバイスのハッキング事例や、Facebook 社および米司法当局と情報を共有したことが報道で明るみに出ていました。
- UCLA、学生からの反対を受けて、顔認識システムの導入計画を撤回。新しい顔認識システムは、キャンパスのセキュリティシステムと統合される予定でした。
- 10 月にジョージアで発生したサイバー攻撃に関して、米国と英国の政府関係者が合同でロシアを非難。同国では首相専用サイトを含む政府の非公開 Web サイトが攻撃され、ダウンする被害を受けていました。
- 米国の天然ガスパイプライン、ランサムウェア攻撃により 2 日間操業を停止。米国国土安全保障省は、使用されたランサムウェアの正確な種類と、影響を受けたパイプラインの場所を公表していません。
最近の注目すべきセキュリティ問題
件名:Snake/Ekans malware adds new functionality to go after ICS [英語]
概要:ランサムウェア Snake(別名 Ekans)に、業界の変化に対応する新機能が追加されました。12 月に登場した Ekans ですが、ランサムウェア「MEGACORTEX」との連携が追加されました。これにより ICS システム上での拡散スピードが上がったほか、一部のサービスを手動操作に強制的に戻すことも可能になりました。Ekans のコードには、HMI プロセスと、ICS で一般に使われている履歴クライアントへの直接参照が含まれています。
Snort SID:53106、53107
件名:Carrotbat malware, Syscon backdoor team up to target federal government
概要:米国連邦政府機関は 1 月下旬に、マルウェア「Carrotbat」の亜種と Syscon バックドアを利用した一連のフィッシング攻撃を受けました。攻撃には、米国と北朝鮮の間の緊張関係に関連した 6 件の電子メールの添付ファイルが使用されました。大半の攻撃は夏に実行されましたが、セキュリティ研究者によれば現在でも攻撃が続いています。
Snort SID:53129 ~ 53145
今週最も多く見られたマルウェアファイル
SHA 256:1460fd00cb6addf9806a341fee9c5ab0a793762d1d97dca05fa17467c8705af7
MD5:88cbadec77cf90357f46a3629b6737e6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.File.2144flashplayer::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:97d8ea6cee63296eaf0fa5d97a14898d7cec6fa49fee1bf77c015ca7117a2ba7
MD5:be52a2a3074a014b163096055df127a0
一般的なファイル名:xme64-553.exe
偽装名:なし
検出名:Win.Trojan.Coinminer::tpd
SHA 256:9e9d85d9e29d6a39f58f4db3617526b92a5200225d41d0ab679a90c0167321b4
MD5:d45699f36a79b9d4ef91f5db1980d27b
一般的なファイル名:profile-6.exe
偽装名:なし
検出名:Win.Dropper.Zbot::222561.in02
SHA 256: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
Talos からの最新情報については、Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年2月20日に Talos Group
Tags:
