脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
最近では、ほぼすべてのデバイスで、ユーザのログインに何らかの指紋スキャナが使用されています。しかし指紋スキャナも無敵ではありません。Talos の研究者 2 人は、3 次元プリンタや樹脂モデルで複製した指紋により、多くのデバイスはロック解除できることを発見しました。一般的なユーザにとっては危険性が低くても、知名度が高い人物であれば大きな問題を秘めています。
数週間のはずだった在宅勤務が数ヵ月に及ぶ可能性もある中、今週の『Beers with Talos』もテレワークでのセキュリティが話題でした。新エピソードでは新しいゲストが登場し、非常に外向的な人にとっての在宅勤務とは何かを解説します。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Hiding in Plain Sight: Analyzing recent evolutions in malware loaders” at Hack in the Box Security Conference Lockdown Livestream(Hack in the Box セキュリティカンファレンスの Lockdown Livestream「マルウェアローダーに見られる最新の進化の分析」)
会場:YouTube でのライブ配信
会期:4 月 25 ~ 26 日
講演者:Holger Unterbrink、Edmund Brumaghin
骨子:過去 1 年間、世界中で配信されているマルウェアローダーの数と種類が大幅に増加していることを確認しています。攻撃者は、マルバタイジングと広範な TDS インフラを使用する代わりに、ローダーを配布して新たなボットネットを作成するようになっています。こうしたボットネットは収益目的の攻撃で、RAT、情報窃取マルウェア、バンキング型トロイの木馬などのペイロードを拡散するために使用されます。新世代のマルウェアローダーの特徴は、高度に難読化されたコード、モジュール式、非常に高い柔軟性などにあります。この講演では、マルウェアの流通における最近の変化や、ローダーの使用方法についてご説明します。また、感染効率を高めて検出を回避するために難読化と多段配信がどのように使用されているのかについてもご紹介します。企業環境におけるローダーの検出手法や、ローダーのより簡単な分析手法についてもご説明します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に縮小している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- セキュリティ機能を適切に開示せず、通話がエンドツーエンドで暗号化されていないことを周知していなかったとして、Zoom 社が株主から訴訟を起こされる。「3 密」対策が世界中で実施されているなか、同社のサービスは拡大を続けています。
- Google 社、セキュリティ上の懸念を理由に、従業員による Zoom の使用を当面禁止にすると発表。同社は「セキュリティの脆弱性」が存在するため、会社所有のデバイスで Zoom アプリが使用できなくなる旨を電子メールで従業員に通知しました。
- Microsoft 社は先日、攻撃者による悪用を防ぐため、議論を呼んだドメインcom を買収。これまでの調査で、正体不明の corp.com ドメイン所有者は、何十万にも及ぶインターネットユーザの機密データにアクセスできた可能性が指摘されています。こうしたユーザには、Microsoft 社のサービスの利用者も含まれます。
- COVID-19 に便乗する新種のマルウェアファミリ、標的のコンピュータを完全に消去できることが確認される。MBR が書き換えられてしまうことも、研究者により判明しています。
- 世界中で「3 密」対策や在宅勤務が長引き、インターネットの利用者が増加する中、脅威状況に変化が発生。モバイル端末の利用頻度が減り、Netflix や YouTube などのストリーミングサービスの利用時間が増えていることが背景にあります。
- サイバー攻撃が過去 4 週間にわたって 37% 増加していることが、新しいレポートで判明。COVID-19 の感染拡大に乗じた攻撃者が増えているためです。大事件や珍しい出来事が起こったときは、それらに関連する最新情報やサービスを提供するとの名目で標的をおびき寄せる攻撃が多発しがちです。
- COVID-19 による危機が続くなか、今年の米国選挙では代替方法としてモバイル投票を検討する州が増加。しかしセキュリティ上の懸念を理由に、この方法は多くの州ですでに却下されています。
- 米国の中小企業局を通じて支援金を申請した中小企業の経営者について、個人情報の漏洩疑いが発覚。同局はすでに、対象となる経営者と連絡を取っており、途上与信を 1 年間無料で提供する予定です。
- Google 社、Chrome ブラウザに導入していた新しい cookie ルール(SameSite)を撤回。同社によると、新型コロナウイルスへの対応に追われる一部の政府機関や医療現場では、新ルールに対応できるだけの時間がないことが背景にあります。
- 新しい dark_nexus ボットネット、IoT にとって過去最強の脅威である可能性が指摘される。このマルウェアは、不正トラフィックを正規に見せかけ、永続性を確立することで、家庭用のルータやセキュリティカメラ、IoT デバイスなどに侵入します。
最近の注目すべきセキュリティ問題
タイトル:Firefox で確認されたメモリ解放後使用(use-after-free)の脆弱性 2 件に対して、Mozilla が修正プログラムをリリース
説明:Firefox ブラウザで確認されたメモリ解放後使用(use-after-free)の脆弱性 2 件に対して、Mozilla から修正プログラムがリリースされました。同社によると、問題の脆弱性が頻繁にエクスプロイトされているため、今回の緊急リリースに至りました。どちらの脆弱性でも、ブラウザの競合状態によって解放済みメモリが使用されてしまう可能性があります。ただし、脆弱性が攻撃でどのように使用されたかについては、Mozilla から詳細が提供されていません。
Snort SID:53580、53581
タイトル:AZORult brings friends to the party
説明:Cisco Talos が最近発見した複雑な攻撃では、複数のペイロード(実行可能ファイル)を使い分けていました。いずれも資金の獲得が主目的ですが、手口が若干異なります。1 つ目のペイロードは XMRigCC を基にした Monero 暗号通貨のマイナー、2 つ目はクリップボードを監視してコンテンツを置き換えるトロイの木馬です。また、悪名高い情報搾取型マルウェア AZORult の亜種、リモートアクセスツール Remcos の亜種、バックドア型トロイの木馬 DarkVNC の使用も確認されています。
カバレッジ:OSQuery におけるマルウェア「AZORult」のレジストリ
今週最も多く見られたマルウェアファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776
MD5:5d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::in03.talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名: f2016341595.exe
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:N/A
検出名:W32.85B936960F.5A5226262.auto.Talos
Talos からの最新情報については、Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年4月9日に Talos Group のブログに投稿された「Threat Source newsletter for April 9, 2020」の抄訳です。