Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2020 年 4 月 9 日)


2020年4月23日

 

脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

最近では、ほぼすべてのデバイスで、ユーザのログインに何らかの指紋スキャナが使用されています。しかし指紋スキャナも無敵ではありません。Talos の研究者 2 人は、3 次元プリンタや樹脂モデルで複製した指紋により、多くのデバイスはロック解除できることを発見しました。一般的なユーザにとっては危険性が低くても、知名度が高い人物であれば大きな問題を秘めています。

数週間のはずだった在宅勤務が数ヵ月に及ぶ可能性もある中、今週の『Beers with Talos』もテレワークでのセキュリティが話題でした。新エピソードpopup_iconでは新しいゲストが登場し、非常に外向的な人にとっての在宅勤務とは何かを解説します。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:“Hiding in Plain Sight: Analyzing recent evolutions in malware loaders” at Hack in the Box Security Conferencepopup_icon Lockdown Livestream(Hack in the Box セキュリティカンファレンスの Lockdown Livestream「マルウェアローダーに見られる最新の進化の分析」)
会場:YouTube でのライブ配信
会期:4 月 25 ~ 26 日
講演者:Holger Unterbrink、Edmund Brumaghin
骨子:過去 1 年間、世界中で配信されているマルウェアローダーの数と種類が大幅に増加していることを確認しています。攻撃者は、マルバタイジングと広範な TDS インフラを使用する代わりに、ローダーを配布して新たなボットネットを作成するようになっています。こうしたボットネットは収益目的の攻撃で、RAT、情報窃取マルウェア、バンキング型トロイの木馬などのペイロードを拡散するために使用されます。新世代のマルウェアローダーの特徴は、高度に難読化されたコード、モジュール式、非常に高い柔軟性などにあります。この講演では、マルウェアの流通における最近の変化や、ローダーの使用方法についてご説明します。また、感染効率を高めて検出を回避するために難読化と多段配信がどのように使用されているのかについてもご紹介します。企業環境におけるローダーの検出手法や、ローダーのより簡単な分析手法についてもご説明します。

イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に縮小している現状をご紹介します。

1 週間のサイバーセキュリティ概況

  • セキュリティ機能を適切に開示せず、通話がエンドツーエンドで暗号化されていないことを周知していなかったとして、Zoom 社が株主から訴訟を起こされるpopup_icon。「3 密」対策が世界中で実施されているなか、同社のサービスは拡大を続けています。
  • Google 社、セキュリティ上の懸念を理由に、従業員による Zoom の使用を当面禁止にすると発表popup_icon。同社は「セキュリティの脆弱性」が存在するため、会社所有のデバイスで Zoom アプリが使用できなくなる旨を電子メールで従業員に通知しました。
  • Microsoft 社は先日、攻撃者による悪用を防ぐため、議論を呼んだドメインcom を買収popup_icon。これまでの調査で、正体不明の corp.com ドメイン所有者は、何十万にも及ぶインターネットユーザの機密データにアクセスできた可能性が指摘されています。こうしたユーザには、Microsoft 社のサービスの利用者も含まれます。
  • COVID-19 に便乗する新種のマルウェアファミリpopup_icon、標的のコンピュータを完全に消去できることが確認される。MBR が書き換えられてしまうことも、研究者により判明しています。
  • 世界中で「3 密」対策や在宅勤務が長引き、インターネットの利用者が増加する中、脅威状況に変化が発生popup_icon。モバイル端末の利用頻度が減り、Netflix や YouTube などのストリーミングサービスの利用時間が増えていることが背景にあります。
  • サイバー攻撃が過去 4 週間にわたって 37% 増加popup_iconしていることが、新しいレポートで判明。COVID-19 の感染拡大に乗じた攻撃者が増えているためです。大事件や珍しい出来事が起こったときは、それらに関連する最新情報やサービスを提供するとの名目で標的をおびき寄せる攻撃が多発しがちです。
  • COVID-19 による危機が続くなか、今年の米国選挙では代替方法としてモバイル投票を検討popup_iconする州が増加。しかしセキュリティ上の懸念を理由に、この方法は多くの州ですでに却下されています。
  • 米国の中小企業局を通じて支援金を申請した中小企業の経営者について、個人情報の漏洩疑いpopup_iconが発覚。同局はすでに、対象となる経営者と連絡を取っており、途上与信を 1 年間無料で提供する予定です。
  • Google 社、Chrome ブラウザに導入していた新しい cookie ルール(SameSite)を撤回popup_icon。同社によると、新型コロナウイルスへの対応に追われる一部の政府機関や医療現場では、新ルールに対応できるだけの時間がないことが背景にあります。
  • 新しい dark_nexus ボットネットpopup_icon、IoT にとって過去最強の脅威である可能性が指摘される。このマルウェアは、不正トラフィックを正規に見せかけ、永続性を確立することで、家庭用のルータやセキュリティカメラ、IoT デバイスなどに侵入します。

最近の注目すべきセキュリティ問題

タイトル:Firefox で確認されたメモリ解放後使用(use-after-free)の脆弱性 2 件に対して、Mozilla が修正プログラムをリリースpopup_icon
説明:Firefox ブラウザで確認されたメモリ解放後使用(use-after-free)の脆弱性 2 件に対して、Mozilla から修正プログラムがリリースされました。同社によると、問題の脆弱性が頻繁にエクスプロイトされているため、今回の緊急リリースに至りました。どちらの脆弱性でも、ブラウザの競合状態によって解放済みメモリが使用されてしまう可能性があります。ただし、脆弱性が攻撃でどのように使用されたかについては、Mozilla から詳細が提供されていません。
Snort SID53580、53581

タイトル:AZORult brings friends to the party
説明:Cisco Talos が最近発見した複雑な攻撃では、複数のペイロード(実行可能ファイル)を使い分けていました。いずれも資金の獲得が主目的ですが、手口が若干異なります。1 つ目のペイロードは XMRigCC を基にした Monero 暗号通貨のマイナー、2 つ目はクリップボードを監視してコンテンツを置き換えるトロイの木馬です。また、悪名高い情報搾取型マルウェア AZORult の亜種、リモートアクセスツール Remcos の亜種、バックドア型トロイの木馬 DarkVNC の使用も確認されています。
カバレッジ:OSQuery におけるマルウェア「AZORult」のレジストリpopup_icon

今週最も多く見られたマルウェアファイル

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD5 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 256a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776popup_icon
MD55d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::in03.talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon 
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名: f2016341595.exe
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:N/A
検出名:W32.85B936960F.5A5226262.auto.Talos

Talos からの最新情報については、Twitter でフォローしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年4月9日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for April 9, 2020popup_icon」の抄訳です。

 

Tags:
コメントを書く