脅威リサーチ

脅威情報ニュースレター（2020 年 3 月 26 日）

TALOS Japan
2020年4月6日

脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

大半の従業員が在宅で勤務しているからといって、パッチの適用が遅れても構わないということには決してなりません。今週、Talos は多忙を極めています。Intel RAID Web Console、Videolabs、GStreamer を筆頭に、新たな脆弱性を次々に公表しているからです。

自宅の静けさに物足りなさを感じる場合には、毎週新エピソードを公開しているポッドキャストをお聴きください。『Beers with Talos（Talos とビールを）』と『Talos Takes（Talos 放送局）』をぜひお見逃しなく！

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント：“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020（Interop Tokyo 2020「脅威環境における攻撃者の進化」）
会場：幕張メッセ
会期：6 月 10 日～ 12 日
講演者：Nick Biasini
骨子：企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に縮小している現状をご紹介します。

1 週間のサイバーセキュリティ概況

世界各国の NGO が新型コロナウイルスのパンデミックへの対応を続ける中、世界保健機関（WHO）に対するサイバー攻撃が急増中。最高情報セキュリティ責任者によると、ピークは無事に脱したものの、攻撃は今も続いています。
セキュリティ研究者、CovidLock Android ランサムウェアに感染したユーザに役立つパスワードを発見。発見されたロック解除トークンを使用すると、マルウェアによって暗号化され、身代金を要求されているユーザの情報を取り返すことができます。
米保健福祉省のオープンリダイレクトを利用し、新型コロナウイルスに関連する情報を提供すると装う攻撃が発生。攻撃者は電子メールで偽情報を送り付け、ユーザに情報窃取ソフトウェア「Raccoon」をダウンロードさせようと仕向けます。
セキュリティ研究者、COVID-19 の拡散を追跡可能と称する悪意のあるアプリを発見。しかし、このアプリは実際にはユーザの所在地を追跡してモバイルデバイスの情報を盗み出します。問題のアプリ「Coronalive 1.1」は、Johns Hopkins Hospital が開発した本物の Covidlive アプリに関連するアプリであると称して配布されています。
COVID-19 のパンデミックが続く中、米国上院は米国経済を支援するために大規模な緊急経済対策を可決。法案の中には、今年予定されている総選挙の支援基金 4 億ドルも含まれています。この基金は、オンライン登録の拡充、投票場所の確保、増加が予想される郵送票への準備などに充当されます。
Google Play ストア、悪意のあるアプリが 56 種類も発見される。これらはすべて Tekya マルウェアの亜種でした。セキュリティ研究者の試算によるとダウンロード回数は合計で 170 万回に上ります。
感染拡大を防ぐために米議会の上下院議員が自宅で待機する中、リモート議決が検討され始める。しかし議会はリモート議決に必要な技術的インフラストラクチャに投資してこなかったため、新たな攻撃の波を招く懸念もあります。
中国人 5 億 3800 万人の個人情報がダーク Web で売買される。攻撃者は、ソーシャルメディアサイト「Weibo（微博）」から漏洩したデータを盗んだと主張しています。
有名人の Instagram アカウントがハッキングされるケースに対して、善玉ハッカーが支援するケースが拡大中。ハッカーたちは、Instagram のログイン情報や細工されたフィッシングページとスクリプトを含む、複数のサーバを発見しています。
ビデオ会議サービス「Zoom」の人気急増につけ込んで、友人や学生が Zoom で交流を図る際に悪意のあるコンテンツを送り付ける攻撃手口が増加中。「Zoombombing」と呼ばれるこうした攻撃では、無防備な通話に割り込み、画面共有機能を使用してアダルト画像などの不適切なコンテンツに表示させます。

最近の注目すべきセキュリティ問題

タイトル：シスコ、一部のルーターの重大な脆弱性を修正
説明：シスコは最近、SD-WAN ソフトウェアで発見された 5 つの脆弱性を公表しました。そのうち 3 つは重大度「高」に分類されています。これらのセキュリティ上の欠陥を放置すると、複数の製品が攻撃のリスクにさらされます。これには、ルーターやネットワーク管理システムも含まれます。最も重大度が高い脆弱性は CVE-2020-3266（CVSS スコア 7.8）です。ローカル環境内の攻撃者は、SD-WAN の CLI ユーティリティを悪用して、root 権限で任意のコマンドを注入できる危険性があります。これらの脆弱性を含むリリースを利用し続けながら問題を回避する方法は存在しません。できるだけ速やかにパッチを適用することが推奨されます。
Snort SID：53481 ～ 53483

タイトル：Intel RAID Web Console 3 の DoS バグ
説明：Intel RAID Web Console 3 の Web API には DoS を引き起こす 2 つの脆弱性が含まれています。RAID Web Console には、コントローラとストレージエクスパンダを含む、Intel RAID 製品ライン向けのさまざまな設定機能があります。コンソールでは製品の監視、メンテナンス、トラブルシューティングができます。攻撃者は、悪意のある POST リクエストを API に送信することで、これら 2 件のバグをエクスプロイトできる可能性があります。
Snort SID：51652、51684

今週最も多く見られたマルウェアファイル

SHA 256：a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776
MD5：5d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名：FlashHelperServices.exe
偽装名：Flash Helper Service
検出名：PUA.Win.Adware.Flashserv::in03.talos

SHA 256：8e0aea169927ae791dbafe063a567485d33154198cd539ee7efcd81a734ea325
MD5：5fb477098fc975fd1b314c8fb0e4ec06
一般的なファイル名：upxarch.exe
偽装名：なし
検出名：Win.Dropper.Ranumbot::in07.talos

SHA 256：85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5：8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名：eternalblue-2.2.0.exe
偽装名：なし
検出名：W32.85B936960F.5A5226262.auto.Talos

SHA 256：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5：e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名：なし
検出名：W32.AgentWDCR:Gen.21gn.1201

SHA 256：46f2f4815d25bf313c08880f3b0a23fb541ae74344371867f58b64d1d488a02b
MD5：b70431ab7b13034e9d25edba5c5436d5
一般的なファイル名：FOC invoices_pdf.gz.xlsx
偽装名：なし
検出名：W32.46F2F4815D-100.SBX.TG

Talos からの最新情報については Twitter でフォローしてください。 Snort 、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら（またはお使いのポッドキャストアプリ）から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。