脅威情報ニュースレター(2020 年 3 月 12 日)
脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
今最も注目を集めているのは、新型コロナウイルスのニュースでしょう。Talos としても、読者の皆様が感染から逃れて健康を保ち、旅行や通勤などでは懸命な判断を下せるよう願っております。
新型コロナウイルスと比べれば重大性は薄れますが、今週は Microsoft 社から月例セキュリティ更新プログラムが公開されました。それに伴う Snort ルール
も Talos からリリース済みです。今週の『注目の脆弱性』では、自動化ソフトウェアの大手 WAGO 社の製品で発見された複数の脆弱性を取りあげています。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に縮小している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 新型コロナウイルス(COVID-19) が世界を震撼させる中、サイバー犯罪者はそれにつけ込んだ攻撃を展開。感染マップを装ったスパムメールや偽の広告が大量に配信され、ユーザのログイン情報やクレジットカード番号を盗み出しています。
- 在宅勤務、新型コロナウイルスがもたらす別のセキュリティ脅威として浮上。テレワークを奨励する企業が増えるなか、VPN の利用頻度も高まっています。これに伴い、中間者攻撃やスヌーピングのリスクも上昇しています。
- 新型コロナウイルスの感染拡大に伴う移動制限と自粛により、セキュリティ関連会議の中止や延期が相次ぐ。その一例が、各国での BSides と Kaspersky 社主催の SAS です。
- 世界最大級のスパム/マルウェア配信者であるボットネット「Necurs」、Microsoft 社の主導でテイクダウンされる。同社の戦略では、Necurs の作成者が制御していたサイトの管理権限を奪ったうえで、ボットネットに新たなサイトが追加されることを妨げています。
- ロサンゼルスで水道と電気を供給する企業、セキュリティ問題を隠蔽していたことで非難が殺到。独立したサードパーティが調査したところ、問題の企業の IT ネットワークには「修正プログラムが適用されていない脆弱性が非常に多く含まれる」ことが判明しました。
- Intel 社、Windows 用の一部のグラフィックドライバで重大度の高い 10 件の脆弱性を修正。その 1 件が CVE-2020-0551 です。エクスプロイト(Meltdown や Spectre など)から保護するための一時的な緩和策をバイパスされる可能性があります。
- Mozilla 社、Firefox ブラウザ用のセキュリティアップデートをリリース。Apple 社製の AirPod を介して情報を盗み出される脆弱性などが修正されました。その他にも、重大度が高い 5 件の脆弱性が公開されています。
- Microsoft Exchange のコントロールパネルで発見された脆弱性、更新プログラムがリリースされているにもかかわらずエクスプロイト事例が報告される。Microsoft 社は 2 月に更新プログラムをリリースしましたが、更新を未適用のソフトウェアが未だに存在しているため、攻撃者がシステムレベルの権限を取得できる危険性があります。
- ノースカロライナ州の 2 つの地方自治体で起きたランサムウェア攻撃、ロシアの攻撃者による関与が疑われる。昨年にニューオーリンズ市を攻撃したのと同じハッカー集団だと考えられます。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、今月のセキュリティ更新プログラムで 25 件の「緊急」を含む脆弱性を修正
説明:Microsoft 社は本日、各種の同社製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月に公開、修正された脆弱性は 117 件です。内訳は 25 件が「緊急」、1 件が「警告」、91 件が「重要」です。今月のセキュリティ更新プログラムで対象となったのは、Microsoft Media Foundation、GDI+ API、Windows Defender などです。
Snort SID:52213、52214、53402 ~ 53409、53414 ~ 53419、53420 ~ 53424
件名:国家支援の攻撃者によって Microsoft Exchange Server の脆弱性がエクスプロイトされる
説明:米国防総省は、Microsoft Exchange Server の脆弱性が、国家支援の複数の攻撃者によってエクスプロイトされているとの警告を出しました。問題の脆弱性は 2 月に公開され、修正プログラムもすでに公開されていますが、多くのユーザはソフトウェアを更新していません。この脆弱性では、悪意のある細工された要求を Exchange コントロールパネルに送信できます。これによりデータのシリアル化が解除され、サーバのバックエンドにて、悪意のあるコードをシステムレベルで実行される危険性があります。
Snort SID:53380 ~ 53383
今週最も多く見られたマルウェアファイル
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:N/A
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:537056acb77c9c65e1beb3518e158eb6cc8c49616687621f00942befaf012274
MD5: aa9bb66a406b5519e2063a65479dab90
一般的なファイル名:output.148937912.txt
偽装名:なし
検出名:Win.Dropper.Generic::vv
SHA 256:c0cdd2a671195915d9ffb5c9533337db935e0cc2f4d7563864ea75c21ead3f94
MD5:7c38a43d2ed9af80932749f6e80fea6f
一般的なファイル名:wup.exe
偽装名:なし
検出名:PUA.Win.File.Coinminer::1201
SHA 256:1460fd00cb6addf9806a341fee9c5ab0a793762d1d97dca05fa17467c8705af7
MD5:88cbadec77cf90357f46a3629b6737e6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.File.2144flashplayer::tpd
Talos からの最新情報については、Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年3月12日に Talos Group
Tags:
