脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
今、おそらく世間ではコロナウイルスの話題で持ちきりのことでしょう。では、サイバーセキュリティについてはどうでしょうか?Talos が最近発表したマルウェア Bisonal に関する大型記事では、過去 10 年間にわたる Bisonal の変遷が詳しくまとめられています。Bisonal の被害状況にまだ目立った変化はありませんが、検出回避の手口について記事で説明しています。
また、Talos のインシデント対応を紹介する動画シリーズ『現場での事例』にも新エピソードが追加されました。今回の担当は Matt Aubert。現在発生しているランサムウェア感染について解説し、いくつかの教訓を紹介します。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:4 月 13 日 ~ 15 日
講演者:Nick Biasini
概要:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 米国連邦通信委員会、顧客の位置情報を販売していた複数の無線通信事業者に対して合計 2 億ドルの制裁金を新たに科す。T-Mobile 社、同社最高額となる 9,100 万ドルの罰金を科される。
- 数百万ドル相当の暗号通貨の流出事件で、北朝鮮政府の支援するハッカー集団を助けたとして 2 人の中国人が新たに告発される。米司法省によると、2 人の容疑者は暗号通貨の不正マイニングで盗み出された資金を洗浄(マネーロンダリング)し、その資金を北朝鮮に送り返すことで、サイバー犯罪に荷担したと見られています。
- 米国の大統領予備選挙で 3 月 3 日に開催された「スーパーチューズデー」、公開予告されていたサイバー攻撃を受けることなく無事終了する。しかし 11 月の総選挙を前にいくつもの懸念が残されています。外国政府の支援を受けたハッカー集団は実力を出し切っていないとの見方もあり、紙の投票用紙の使用が呼びかけられています。
- ユーザの個人情報を Facebook に送信しているアプリを確認できるよう、「Facebook 外のアクティビティ」という新しいトラッキング機能が提供開始。Facebook を使用していないユーザについても個人情報を送るアプリまで存在しています。あるレポーターは、Facebook に個人情報を提供している健康関連アプリが 60 種類を超えていて、その中には処方箋や月経周期なども含まれていると報告しています。
- T-Mobile 社、最近データ侵害を受けたと公表。一部ユーザの情報が漏えいした可能性があります。財務情報への不正アクセスが確認された個々の顧客には、テキストメッセージで通知し、ID 窃盗保護を 2 年間無償で提供しています。
- 米情報機関当局、人気のソーシャルメディアアプリ TikTok にはセキュリティ上の懸念があると上院議員に警告。ある FBI 職員は、TikTok が「外国政府の支援を受けたハッカー集団によってコントロールされている」とまで断定しています。
- Netgear 社、人気のワイヤレスルーター Nighthawk 製品シリーズで重大な脆弱性が見つかったと報告。リモートの攻撃者によってデバイスを完全に乗っ取られる可能性があります。同時に、重大度「中」の脆弱性 21 件と重大度「高」の脆弱性 2 件に対する修正パッチもリリースしました。
- 米国政府、サイバー対策の強化を支援するためウクライナに 800 万ドルを送金すると発表。両国が今週の会談でセキュリティについて協議した結果、今後数年間で合計 3,800 万ドルの資金援助を行うことに米国側が同意しました。
- 中国のサイバーセキュリティ企業 Qihoo 360 社、11 年間にわたって中国にハッキング攻撃を展開しているとして CIA を告発。米国政府は中国の航空・石油業界、および一部の政府機関を標的にしていると主張しています。
最近の注目すべきセキュリティ問題
タイトル:新種のマルウェア Mozart の詳細を公開
説明:「Mozart(モーツァルト)」と呼ばれる新種のマルウェア群は DNS を利用して、作成者のものと思われるコマンド & コントロール(C2)サーバと通信します。また、このマルウェアは正体を偽装して特殊な JSScript ファイルを実行することにより、検出を回避します。Mozart に感染したマシンには、ランサムウェアや暗号通貨マイナーなど、別種のマルウェアがダウンロードされる可能性があります。このマルウェアは一般に、悪意のある PDF ファイルが添付されたスパムメールキャンペーンを通じて拡散されます。標的とされたユーザがこの PDF を開くと、特定のフォントがサポートされていないことを示すメッセージが PDF リーダーに表示され、フォントをダウンロードするよう促されます。ここでその指示に従うと、実際には悪意のある ZIP ファイルがダウンロードされます。
Snort SID:53364 ~ 53373
タイトル:Ryuk ransomware strikes across the globe
説明:過去 1 年間にわたって攻撃に使用されてきたランサムウェア Ryuk が猛威を振るったこの 1 週間に、数件のレポートが発表されました。最近の特筆すべき感染例には、機械工事と電気工事を専門とする Fortune 500 企業、フロリダ州の地域図書館システムと警察署、ニューメキシコ州の学区などへの攻撃があります。Ryuk は主にフィッシングメールを通じて拡散し、資格情報の窃盗や、暗号通貨マイナーのダウンロードをはじめとする、さまざまな機能を備えています。
Snort SID:53333、53334、53336、53337
今週最も多く見られたマルウェアファイル
SHA 256:c0cdd2a671195915d9ffb5c9533337db935e0cc2f4d7563864ea75c21ead3f94
MD5:7c38a43d2ed9af80932749f6e80fea6f
一般的なファイル名:wup.exe
偽装名:なし
検出名:PUA.Win.File.Coinminer::1201
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
Talos からの最新情報については、Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年3月5日に Talos Group のブログに投稿された「Threat Source newsletter (March 5, 2020)」の抄訳です。