脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
今週の最新記事では Aggah キャンペーンを取りあげました。攻撃者は、悪意のある Microsoft Word ドキュメントを通じて標的に Aggah を感染させ、それを通じて最終的に Agent Tesla、njRAT、Nanocore RAT をインストールします。記事では感染の仕組みと防御策を紹介しています。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- Microsoft 社、Teams アプリケーションの脆弱性に対処するセキュリティ更新をリリース。この脆弱性がエクスプロイトされた場合、特定の GIF 画像を介してアカウント情報が流出するそれがあります。在宅勤務でのコミュニケーションにビデオチャットやテキストチャットを利用する人が増加していることから、Teams も普及率が高まっています。
- 世界保健機関(WHO)によると、職員を標的としたサイバー攻撃が 5 倍増加。また、新型コロナ感染症(COVID-19)担当職員に関連する数百通のメールが流出したことを認めています。
- 米豪両国政府、国家の支援を受けている攻撃者に対し、医療分野を標的にしてはならないと警告。共同声明の背景には、チェコ共和国最大の感染検査機関が攻撃を受けたことがあります。
- 米国国防総合大学に付設の College of Information and Cyberspace(情報・サイバースペース大学院)が閉校に追い込まれつつある状況を受け、米国の複数の国会議員が追加の財政的支援を強く要求。閉校によりセキュリティ専門家が不足しかねない点が懸念されています。
- Google Play ストアで配布されている複数アプリ、2018 年からマルウェアを拡散させていることが判明。これらのアプリはセキュリティ研究者が Google 社に通知した後、削除されています。
- Sophos 社製のファイアウォールに脆弱性が存在しているとして、同社がユーザに警告。攻撃者によって、悪意のある SQL コードを注入されるおそれがあります。ただし攻撃者がエクスプロイトに成功しても情報を窃取できないとの見解を示しています。
- Adobe 社、Illustrator と Bridge で確認された 21 件の緊急な脆弱性を修正。Illustrator で確認された、メモリ破損を招く 5 件の脆弱性の場合、攻撃者がリモートで任意コードを実行できる危険性があります。
- Microsoft Office 365 に新機能が追加。フィッシング詐欺への対策が強化されました。不正コードの実行を防止するための「保護モード」を終了することなく Office ドキュメントを編集、印刷、コピーできるようになります。
- 最新の世論調査では、新型コロナ感染者追跡ソフトウェアのダウンロードを進んで受け入れる米国人は半数に満たないことが判明。Apple 社と Google 社は、COVID-19 の感染確認者と濃厚接触した場合に通知するシステムを共同で開発しています。各国政府は、この情報が経済活動の再開にあたって鍵になると考えています。
最近の注目すべきセキュリティ問題
件名:ランサムウェア MedusaLocker による、ドライブ再マッピングとファイル暗号化の被害が継続的に発生中
説明:MedusaLocker は、2019 年の発見後、継続的な展開が確認されているランサムウェアファミリです。これまでに複数の亜種も確認されてきましたが、機能はほぼ変わりません。唯一変化しているのは、暗号化されたファイルの拡張子と、暗号化プロセスの完了後にシステムに残される身代金要求メッセージです。
Snort SID:53662 ~ 53664
件名:マルウェア Kwampirs が医療分野への攻撃を拡大
説明:米国連邦捜査局(FBI)は先日、医療機関に対し、マルウェア Kwampirs への留意を怠らないよう警戒を出しました。この RAT にシステムが感染すると、被害者のネットワークにバックドアが設けられます。FBI の報告書によれば、Kwampirs を駆使する攻撃者は、すでに世界各地の医療関連ネットワークへの感染を成功させています。攻撃者は、COVID-19 のパンデミックに伴う恐怖や不安、大量の対応業務に乗じようとしているのです。
Snort SID:53738 ~ 53741
今週最も多く見られたマルウェアファイル
SHA 256:fb022bbec694d9b38e8a0e80dd0bfdfe0a462ac0d180965d314651a7bc0614f4
MD5: c6dc7326766f3769575caa3ccab71f63
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV、Immunet にも独自のアカウントがあります。ぜひフォローし、いつも最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年4月30日に Talos Group のブログに投稿された「Threat Source newsletter for April 30, 2020」の抄訳です。