Talos 読者の皆様、こんにちは。
Cisco Live が終了しました。オンラインイベントに登録されている場合は 2 回の Talos トークセッションをこちらからオンデマンドでご覧いただけます。
『Beers with Talos』の最新エピソードのテーマは、サイバーセキュリティ分野のキャリアでの行き詰まりを打破する方法です。意外にもホストは実践的なアドバイスを提供しています。
Cisco Talos インシデント対応チームから直近四半期のレポートも届いています。今夏これまでに観測されたマルウェアのうち、最も蔓延しているタイプをまとめています。
1 週間のサイバーセキュリティ概況
- 新型コロナウイルス感染症(COVID-19)が拡大する中、ダークウェブフォーラムの人気が上昇中。ここ数週間、悪名高い闇サイトの多くがモデレーターとコミュニティマネージャーを新規に募集しています。感染拡大により需要が増えていることをその理由に挙げています。
- Discord 社、もっぱら海賊版アダルトビデオの拡散に使われていたサーバを数台無効化。最近の調査では、原作者から盗んだ画像や動画、スクレイピングツールを交換・売却するページが多数見つかっています。
- Amazon Web Services(AWS)、過去最大規模の DDoS 攻撃を緩和したと発表。AWS が先日発表した最新レポートによると、DDoS 保護サービス「AWS Shield」は今年 2 月中旬、2.3 Tbps の攻撃を検知しました。
- 無線通信事業者 T-Mobile で先週発生した回線障害では、世界的な DDoS 攻撃に起因するとの懸念が急速に拡散。しかし原因は同社の設定ミスにあったようです。
- 多数の米大手テクノロジー企業が顔認識技術を規制する連邦法の制定を要求。Black Lives Matter のデモ参加者を特定するために警察が顔認識技術を利用したのを受けて、法整備を支持する声が高まっています。米ケーブルチャンネル大手 HBO の人気番組「Last Week Tonight」でもこの話題が取り上げられました。
- デモ隊に対する警察の暴行を追跡するため、ニューヨーク市では活動家らが交通監視カメラを使用。Black Lives Matter のデモ参加者への不当な扱いに対して、警察の責任を問うために膨大なデータを収集している活動家グループも現れています。
- 新型コロナウイルスの接触追跡アプリを装った偽アプリが Android 向けサードパーティストアで広く拡散される。アプリの真の目的はマルウェアの拡散にあり、感染したデバイスでユーザの個人情報を盗み、場所を追跡します。
- 2018 年以降なりを潜めていた仮想通貨マイニンググループ「Tor2Mine」について、Cisco Talos は活動再開を確認。Tor2Mine は新しいマルウェアを展開してログイン情報を収集し、仮想通貨を盗み出そうと目論んでいます。情報搾取型マルウェア「AZORult」、リモートアクセスツール「Remcos」、バックドア型トロイの木馬「DarkVNC」、クリップボードの不正操作により暗号通貨を盗み出すマルウェアなどが使われています。
- Google Chrome のベータ版で、訪問サイトの URL の一部がユーザに表示されなくなる設定がテスト中。これに対してセキュリティ専門家は、悪意のあるページに誘導するのが簡単になると警鐘を鳴らしています。
- Facebook 社、11 月の米総選挙まで政治広告の表示を減らす機能をユーザ全員に提供すると発表。この新機能はデマ情報の拡散阻止に力を入れる同社の姿勢を反映するものです。
最近の注目すべきセキュリティ問題
件名: インドの人権活動家がマルウェア「NetWire」の標的に
説明: 2019 年 1 月から 10 月にかけて、インドの人権活動家数名がマルウェア NetWire の標的となり、会話内容を傍受された可能性があります。スピアフィッシングメールを開封したことが感染を引き起こしたと研究者は分析しています。NetWire は音声録音データや資格情報を盗み出し、キーストロークを記録するマルウェアです。被害者に共通するのは、2018 年のデモ後に投獄された活動家の釈放を求めている点です。
Snort SID: 54284、54285
件名: Firefox の SharedWorkerService 機能で、リモートコード実行の脆弱性が確認される
説明: Mozilla Firefox の SharedWorkerService 機能に、攻撃者が任意コードを遠隔実行できる脆弱性が見つかりました。この脆弱性はユーザが悪意のある Web ページにアクセスするとエクスプロイトされる可能性があります。具体的には、競合状態が発生するように細工された Web ページにより、解放済みメモリ使用(use-after-free)の脆弱性を突くことで、攻撃者は任意コードをリモートで実行できます。
Snort SID: 53759、53760
今週最も多く見られたマルウェアファイル
SHA 256: 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名: なし
検出名: W32.85B936960F.5A5226262.auto.Talos
SHA 256: e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5: 8193b63313019b614d5be721c538486b
一般的なファイル名: SAntivirusService.exe
偽装名: SAService
検出名: PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256: 094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5: a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名: FlashHelperServices.exe
偽装名: Flash Helper Service
検出名: PUA.Win.Adware.Flashserv::100.sbx.vioc
SHA 256: 32155b070c7e1b9d6bdc021778c5129edfb9cf7e330b8f07bb140dedb5c9aae7
MD5: 73d1de319c7d61e0333471c82f2fc104
一般的なファイル名: SAntivirusService.exe
偽装名: Antivirus Service
検出名: Win.Dropper.Zudochka::in03.talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また『Beers with Talos』のポッドキャストはこちら(またはお使いのポッドキャストアプリ)から購読できます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 6 月 18 日に Talos Group のブログに投稿された「Threat Source newsletter for June 18, 2020」の抄訳です。