脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
スタッフ全員が在宅勤務となっている現在、ポッドキャスト『Beers with Talos(Talos とビールを)』のエピソードも、これまでにないペースでお届けできる予定です。今週は、映画『キャッツ』ではなく実際の出来事
を取り上げ、スプリットトンネリングの重要性といったセキュリティ問題について意見を交わしています。
2 本公開した「注目の脆弱性」では、3S CODESYS と Accusoft ImageGear に存在している警戒の必要な脆弱性を紹介しています。
最新の脅威のまとめ記事では、過去 1 週間に最も多く検知され、ブロックされた脅威についてまとめています。
今後予定されている公開イベント
イベント:“Dynamic Data Resolver IDA plugin” at NSEC Online(NSEC Online:IDA 用のプラグイン「Dynamic Data Resolver」)
会場:Twitch でのストリーミング
開催日:5 月 15 日
講演者:Holger Unterbrink
骨子:IDAPro 向けに開発されたプラグインについて、開発者の Holger Unterbrink が順を追って解説します。このプラグインを活用することで、マルウェアサンプルの分析時間を劇的に短縮できます。また、プラグインのアーキテクチャと DynamoRIO の各機能は、独自の拡張機能や応用を可能にします。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020:「脅威環境における攻撃者の進化」)
会場:カンファレンス専用サイトからのストリーミング
会期:6 月 10 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。手口が洗練されているものと、初歩的なものです。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 経済再開を後押しするため、新型コロナウイルス(COVID-19)接触者追跡アプリの開発が各国で開始。セキュリティ研究者によれば、インドが国家主導で開発しているアプリには、感染確認者の正確な位置情報が漏えいしかねない脆弱性があります。
- 英国では、接触者追跡アプリに基本的な機密保持規定が導入されていないことに関し、議会の人権合同委員会が懸念を表面。複数の国会議員が、個人情報の保管・使用方法をより厳密に取り決めるよう政府に求めています。
- 新型コロナ感染症の拡大に乗じたサイバー犯罪が増加中。収益が増加している犯罪者もいますが、活動コストの増大に見舞われて補給線が途絶している犯罪者もいます。
- 米国ではインターネット上での児童の性的搾取を防止するための新たな法案が下院で審議中。民主党が支持する同法案は、先んじて提出された共和党案への対案です。共和党案も児童の保護を盛り込んでいますが、暗号化の禁止につながり得る条項まで含まれています。
- ヨーロッパ最大の私立病院を運営する Fresenius グループ、ランサムウェア攻撃の被害を発表。同グループによれば、一部の業務が影響を受けているものの、患者へのケアは中断なく実施されています。
- 米国の納税者情報を不正に取得して、コロナ給付金を窃取する新たな攻撃手口が確認。納税者情報はダーク Web のフォーラムで売買もされています。
- リモートアクセス型トロイの木馬(RAT)である Dacls の新たな亜種、悪意のある二要素認証アプリを介して Mac ユーザの間で感染を拡大中。このアプリは、中国語を話すユーザを主な標的にしているようです。
- 「ColdLock」と呼ばれる新たなランサムウェアファミリが、台湾の組織を標的として攻撃を展開中。ColdLock の標的はサーバおよびデータベースであると見られ、暗号化の解除と引き換えに身代金を要求します。
- 米国議会では投票が対面形式に戻る可能性も浮上する中、幹部の間では遠隔投票の是非についての議論が続く。投票の不正操作や、議員のデジタルリテラシー(ソフトウェアを安全にインストール・更新できる)について懸念の声が出ています。
最近の注目すべきセキュリティ問題
タイトル:Aggah によるスパム攻撃が進化し、新たな検出回避手口を使用
説明:進化した Aggah 攻撃が、スパムメールで Microsoft Office の不正ドキュメントを拡散して、標的ユーザのエンドポイントに多段階の攻撃を仕掛けています。感染の最終的なペイロードは、Agent Tesla、njRAT、Nanocore RAT といったリモートアクセスツール(RAT)です。今回のキャンペーンでは、従来の Aggah キャンペーンと同様に、インフラストラクチャが必要な場面では pastebin[.]com に利用が集中しています。ただし、今回のキャンペーンの場合、複数の段階に分かれた攻撃を担う多数の Pastebin アカウントが利用されているのです。
Snort SID:53745 ~ 53748
件名:Microsoft 社、新型コロナ感染拡大に乗じた Remcos 攻撃について警告
説明:Remcos 攻撃が世界各地で発生し、新型コロナウイルス(COVID-19)関連を装って感染させる誘い込みファイルが使われています。Microsoft 社によると、使用されているのは細工されたディスクイメージです。この中には、米国中小企業庁などの主要政府機関や、韓国の製造業者を標的とするマルウェアが仕込まれています。被害者を騙すため、フィッシングメールでは新型コロナ感染症に関連する件名が使われています。
Snort SID:53793 ~ 53796
今週最も多く見られたマルウェアファイル
SHA 256:fb022bbec694d9b38e8a0e80dd0bfdfe0a462ac0d180965d314651a7bc0614f4
MD5:c6dc7326766f3769575caa3ccab71f63
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV、Immunet にも独自のアカウントがあります。ぜひフォローし、いつも最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年5月7日に Talos Group
Authors