脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
『Beers with Talos(Talos とビールを)』ポッドキャストの最新話を投稿しました。今回の目玉はセキュリティに関する本格的なトークです。次回の番組に向けてリスナーからの質問を募集しています。聞きたいことがある方は、Twitter のメンション機能(@TalosSecurity)でぜひお気軽にご質問ください。
現在の情勢により、ほぼ誰もが何らかのビデオチャットソフトウェアを使用しています。仕事が在宅勤務に切り替わったため、新しいコミュニケーション手段が必要になっているからです。現時点で屈指の人気を誇るのは Zoom ですが、セキュリティの脆弱性が見つかりました。そこで Talos は Zoom の脆弱性に関する詳細記事をリリースしました。短く言えば、組織内の Zoom ユーザ全員の電子メールが攻撃者の手に渡る危険性があります。たとえば「@cisco.com」を含む電子メールアドレスをすべて取得できます。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Hiding in Plain Sight: Analyzing recent evolutions in malware loaders” at Hack in the Box Security Conference Lockdown Livestream(Hack in the Box セキュリティカンファレンスの Lockdown Livestream「マルウェアローダーに見られる最新の進化の分析」)
会場:YouTube でのライブ配信
会期:4 月 25 ~ 26 日
講演者:Holger Unterbrink、Edmund Brumaghin
骨子:過去 1 年間、世界中で配信されているマルウェアローダーの数と種類が大幅に増加していることを確認しています。攻撃者は、マルバタイジングと広範な TDS インフラを使用する代わりに、ローダーを配布して新たなボットネットを作成するようになっています。こうしたボットネットは収益目的の攻撃で、RAT、情報窃取マルウェア、バンキング型トロイの木馬などのペイロードを拡散するために使用されます。新世代のマルウェアローダーの特徴は、高度に難読化されたコード、モジュール式、非常に高い柔軟性などにあります。この講演では、マルウェアの流通における最近の変化や、ローダーの使用方法についてご説明します。また、感染効率を高めて検出を回避するために難読化と多段配信がどのように使用されているのかについてもご紹介します。企業環境におけるローダーの検出手法や、ローダーのより簡単な分析手法についてもご説明します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- Zoom 社、暗号化方式を変更するなど、一連のセキュリティ問題をリリース0 で修正。「Zoombombing(Zoom 爆撃)」を防ぐための新機能も追加されました。
- Google 社のレポート、新型コロナの混乱に便乗した金銭目的の攻撃を国家支援のハッカー集団が展開していると指摘。レポートによれば、感染拡大に便乗してマルウェアやフィッシングドキュメントを配布する国家支援を受けたハッカー集団が、今年 2 月以降に 12 以上見つかっています。
- 中国当局の支援を受けたハッカー集団、今年初頭に複数の医療機関、軍事部門、石油生産施設を標的にしていたことが判明。新しい報告によると、新型コロナ感染症の拡大防止に中国が取り組んでいた 1 月、悪名高いハッカー集団「APT41」が数種類の攻撃を展開していました。
- Apple 社が次期 iPhone で 5G 対応の準備を進めていると報道される。新製品「iPhone 12」は 9 月に発売されると予想されますが、新型コロナのパンデミックでサプライチェーンと業務に影響が及び、遅れる可能性もあります。
- iPhone と iPad のデフォルトメールアプリで長年残っていた脆弱性が修正される。修正前は、細工した電子メールが送られるとデバイスのメモリオーバーランが起き、悪意のあるコードを実行される危険性がありました。最終的にはユーザ情報が漏洩する可能性があります。
- Web シェルを不正インストールするため攻撃者が多用している脆弱性について、米・豪政府のサイバー対策機関が今週、共同で警告を発表。攻撃者は通常、検出を回避するため Web シェルコードを他のアプリケーションに隠します。
- IT サービス企業 Cognizant 社、ランサムウェア Maze に侵入されたと発表。同社は一部の顧客サービスが中断したことを認めていますが、影響の範囲については明かしていません。
- ビデオ通話アプリ Skype のログイン情報を盗もうとする新たなフィッシング攻撃が確認される。攻撃では Skype 正規のものと酷似した電子メールを送り付け、確認が必要な通知があるとユーザを騙して偽のページにログインさせます。
- 新型コロナのパンデミックで各国の医療機関が直面している問題について、ボストンの医療制度が良い例だと指摘。新型コロナに便乗した金銭目的の攻撃が多発していますが、病院側はセキュリティシステムを効率的に更新する時間やリソースがとにかく不足しています。
最近の注目すべきセキュリティ問題
タイトル:COVID-19 に乗じた新型 RAT で大規模インシデント続出
説明:リモートアクセスを狙った、新種の RAT(トロイの木馬)「PoetRAT」が確認されました。COVID-19 に便乗したドキュメントと電子メールが誘導手口です。検出を回避するため、全体を 2 つのスクリプトに分けています。攻撃では Word ドキュメントに RAT を追加するという、旧来の手口を新しい切り口で使っています。ユーザがドキュメントを開くとマクロが実行され、マルウェアを抽出して起動します。マルウェアの操作はおそらく手動ですが、必要に応じて追加のツールを展開し、不要な手順は回避するという合理化が施されています。
Snort SID:53689 ~ 53691
タイトル:シスコのユニファイド コンピューティング システム(UCS)で 17 件の重要な脆弱性を修正
説明:シスコは先週、ユニファイド コンピューティング システムで「緊急」の脆弱性を 17 件修正しました。UCS はユーザがプライベート クラウド システムを構築し、データセンターリソースを最適化できるソフトウェアです。攻撃に成功した場合、これらの脆弱性をエクスプロイトしてシステムを遠隔操作したり、サービス妨害状態を引き起こしたりする可能性があります。脆弱性の大部分は UCS の REST API に起因します。
Snort SID:53667 ~ 53683
今週最も多く見られたマルウェアファイル
SHA 256:a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776
MD5:5d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::in03.talos
SHA 256:fb022bbec694d9b38e8a0e80dd0bfdfe0a462ac0d180965d314651a7bc0614f4
MD5:c6dc7326766f3769575caa3ccab71f63
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:9cc2b845bdee4774e45143e00dc82c673bf940c764b687c976f8d27d9f48b704
MD5:: 4202e589899ec68bc2d4fa6fb1218e2f
一般的なファイル名:app171.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::sbmt.talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
最新情報については Talos を してください。Snort、ClamAV、Immunet にも独自のアカウントがあります。ぜひフォローして最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年4月23日に Talos Group のブログに投稿された「Threat Source newsletter for April 23, 2020」の抄訳です。