脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
米国内で今回の都市閉鎖が始まってから 5 週目か 6 週目かわからなくなりましたが、『Beers with Talos(Talos とビールを)』ポッドキャストの担当チームも同様でした。しかし不幸中の幸いで、それが他では聞けないポッドキャストエピソードの誕生につながりました。
今週、Microsoft セキュリティ更新プログラム(月例)が公開されました。同社が公表した脆弱性は 100 件を超え、そのうち十数件以上が「緊急」と評価されています。ここでは、Cisco Talos の研究者が発見した脆弱性の 1 つに関する詳細情報に加え、Cisco Talos による包括的な分析をご紹介します。
また、2019 年 11 月から 2020 年 1 月の間に Cisco Talos Incident Response(CTIR)が対応した主なインシデントについて考察し、最新のインシデント対応四半期レポートを取りまとめました。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Hiding in Plain Sight: Analyzing recent evolutions in malware loaders” at Hack in the Box Security Conference Lockdown Livestream(Hack in the Box Security Conference ロックダウン ライブストリーム「静かながら大胆に活動する詐欺グループ:昨今のマルウェアローダーの進化を分析する」)
会場:YouTube でのライブ配信
会期:4 月 25 日~ 26 日
講演者:Holger Unterbrink および Edmund Brumaghin
骨子:Talos はここ 1 年で、世界各地で拡散されるマルウェアローダーの数と種類が大幅に増加したことを確認しています。攻撃者は、マルバタイジングや大規模な TDS インフラストラクチャを利用しているのではありません。金銭目的でローダーを拡散させ、新しいボットネットを構築しているのです。その目的は、RAT、窃取プログラム、バンキング型トロイの木馬といったマルウェアペイロードの配信にあります。新世代のマルウェアローダーの特徴は、難読化の強化、モジュール化、そしてボットネットの運営者にとっての最大限の柔軟性にあります。この講演では、マルウェアの配布における昨今の変化、ローダーが利用されている方法、難読化とマルチステージ配信によって効率化と検出の回避を図っている手口について説明します。さらに、企業環境に潜むローダーを検出するためのテクニックと、より簡単に分析する方法についても説明します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- Apple 社と Google 社、COVID-19 追跡アプリの開発に両社が共同で取り組むことを発表。新しいアプリは、感染が判明している人との接触があった場合に、その旨をユーザに通知するものです。アプリによる位置情報の追跡にはプライバシーの保護が疑問視されていますが、両社は技術的にプライバシーを保護可能だと述べています。
- チェコ政府は国内の医療機関に対し、今後数日あるいは数週のうちに攻撃者がサイバー攻撃を開始すべく準備を整えていると警告。チェコで 2 番目の規模を持つ医療機関は、2 月の時点ですでに攻撃を受けていました。
- Android デバイス上で自身を再インストールできるトロイの木馬に関して、詳細が判明。新たな調査によると、Triada として知られるトロイの木馬は、再起動後であってもデバイスにファイルを再インストールし、さらには削除を妨げます。
- Zoom ユーザのユーザ名、パスワード、電子メールアドレスがダークウェブで販売されていることが発覚。最近販売された 1 つのデータセットには、53 万件を超えるアカウントが含まれていたと報告されています。
- 人気の Zoom アプリ、通話が経由する国を選択する機能を提供開始。ただし、この新機能を利用できるのは有料ユーザのみとなっています。
- 外貨両替サービス事業者の Travelex 社、今年初めに発生したデータ漏えいで数百万ドルもの身代金を支払う。今後同社の財務状況が悪化すると考えられます。
- ポルトガルの大手エネルギー企業である EDP 社、データ漏えいの発生後、攻撃者から 1,100 万ドルの支払いを要求する恐喝を受けていると発表。報道によれば、同社はランサムウェア Ragnar Locker の被害を受けています。
- Oracle 社は今週、一連の同社製品で確認された 405 件の脆弱性に対してパッチをリリース。Fusion Middleware だけでも、認証されていないリモートの攻撃者によりエクスプロイト可能な脆弱性が 49 件見つかっています。
- 米国国防総省におけるサイバーセキュリティの改善に大幅な遅れが生じていることを新たな報告書が指摘。国防総省は 5 年前に 3 項目の目標を定めたものの、米国政府説明責任局によると、どの目標も未達です。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、月例のセキュリティ更新プログラムをリリース
説明:Microsoft 社は今週、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月に公開、修正された脆弱性は 113 件です。そのうち 18 件が「緊急」、1 件が「警告」と評価されています。その他の更新プログラムの評価は「重要」です。今月のセキュリティ更新プログラムでは、SharePoint、Windows フォントライブラリ、Windows カーネルなどの同社製品とサービスで確認されたセキュリティ問題が修正されています。
Snort SID: 53489 – 53492, 53619 – 53630, 53652 – 53655
件名:DrayTek routers, switches open to attack
説明:テクノロジー企業の DrayTek 社は最近、2 件のゼロデイ脆弱性を修正しました。同社製のルータおよびスイッチの一部機種は、脆弱性の影響を受けるネットワーク上で攻撃者がトラフィックをモニタリングし、バックドアを仕込むことができる状態でした。同社はセキュリティ研究者と協力して 12 月に脆弱性および進行中のエクスプロイトを発見し、3 月下旬にパッチを公開しました。同社製デバイスのユーザは、可能な限り早急にパッチを適用するか、管理者権限でのリモートアクセスを無効にすることが推奨されます。
Snort SID:53591, 53592
今週最も多く見られたマルウェアファイル
SHA 256:a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776
MD5:5d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::in03.talos
SHA 256:589d9977a5b0420d29acc0c1968a2ff48102ac3ddc0a1f3188be79d0a4949c82
MD5:bf1d79fad6471fcf50e38a9ea1f646a5
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:W32.Auto:589d99.in03.Talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:518a8844dae953d7f2510d38ba916f1c4ccc01cfba58f69290938b6ddde8b472
MD5:9b47b9f19455bf56138ddb81c93b6c0c
一般的なファイル名: updateprofile.exe
偽装名:なし
検出名:Win.Dropper.Generic::tpd
SHA 256:1c3ed460a7f78a43bab0ae575056d00c629f35cf7e72443b4e874ede0f305871
MD5:c2406fc0fce67ae79e625013325e2a68
一般的なファイル名:SegurazoIC.exe
偽装名:Segurazo IC
検出名:PUA.Win.Adware.Ursu::95.sbx.tg
最新情報については Talos を Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年4月16日に Talos Group のブログに投稿された「Threat Source newsletter for April 16, 2020」の抄訳です。