Categories: 脅威リサーチ

脅威情報ニュースレター(2020 年 5 月 14 日)

脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

今週注目するのは Astaroth です。これは、過去 9 ~ 12 ヵ月にわたり、新型コロナウイルス(COVID-19)を題材としたドキュメントなど、さまざまなおとりを使ってブラジルを標的としてきたマルウェアファミリです。Astaroth には堅牢な一連の分析対策/検出回避手法が実装されています。この手法は Talos が最近確認した中で最も周到なものです。脅威と防御策については、こちらの Talos の記事をご覧ください。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:“Dynamic Data Resolver IDA plugin” at NSEC Online(NSEC Online:IDA 用のプラグイン「Dynamic Data Resolver」)
会場:Twitch でのストリーミング
開催日:5 月 15 日
講演者:Holger Unterbrink
骨子:IDAPro 向けに先頃開発されたプラグインについて、開発者の Holger Unterbrink が順を追って解説します。このプラグインを活用することで、マルウェアサンプルの分析時間を劇的に短縮できます。また、プラグインのアーキテクチャと DynamoRIO の各機能は、独自の拡張機能や用途を拡げる良い機会にもなります。

イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020:「脅威環境における攻撃者の進化」)
会場:カンファレンス特設サイトからのストリーミング
会期:6 月 10 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。手口が洗練されているものと、初歩的なものです。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。

1 週間のサイバーセキュリティ概況

  • 米国政府、新型コロナ感染症のワクチンに関する研究を標的としたサイバー攻撃について国家が支援する複数の攻撃者を非難。FBI の警告によると、「サイバー攻撃者や今までとは異なる情報収集者」が知的財産と公衆衛生データを標的としています。
  • 米国議会民主党、コロナウイルスのパンデミックに関するデマを流している攻撃者を追跡するよう国土安全保障省に命令する法律の制定に着手。ソーシャルメディアの投稿やビデオによって、新型コロナ感染症の予防接種や不適切な治療に関する偽情報がばらまかれています。
  • 米国議会の新しい法案では、自分で投票に行けない議員の代わりに代理人が「代理」投票するためのガイドラインが制定される予定。法案の提出時には、法案自体がサイバーセキュリティに与える影響について質疑応答がなされました。
  • FBI、株取引の調査の一環として米国上院議員が所有する iPhone を押収。その後、当局は議員の iCloud アカウントに関する情報を提供するよう Apple 社に令状を送達しました。
  • 国土安全保障省、電気通信会社が 5G 電波塔を保護するためのガイドラインに着手。新型コロナ感染量の拡大に 5G が影響しているとの陰謀論がオンラインで広まり、電波塔に対する物理的な攻撃が増加しています。
  • 新型コロナ感染症のパンデミックを理由に出勤を拒んだ従業員を雇用主が報告できるオハイオ州政府の Web サイト、ハッカーにより攻撃される。サービス拒否攻撃の後、同州では方針を転換し、拒否した従業員に対しても失業手当を給付するようになりました。
  • ハッカー集団、多数の有名人に関する機密情報や機密保持契約を入手したと主張。このハッカー集団は、英国の大手法律事務所である Grubman Shire Meiselas & Sacks からデータを盗んだと述べています。
  • Apple 社と Google 社が開発を進めるコロナウイルス接触者追跡アプリについて、多くの地方自治体は葛藤中。自治体の幹部たちは、両社が開発中の技術でユーザの位置情報が追跡されたり保存されたりする場合は、使用をためらうと話しています。
  • 小包ロジスティクス会社の Pitney Bowes 社、今年 2 回目のランサムウェア攻撃の被害に遭う。同社は、アクセスされたのはごく「一部の」データのみであると話しています。
  • 一部の企業、在宅勤務している従業員のオンライン行動を追跡ソフトウェアで監視。安全でない場所に機密情報を保存している従業員を雇用主に通知できると主張するソフトウェアも現れています。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、月例のセキュリティ更新プログラムで 111 件の脆弱性を修正
説明:Microsoft 社は本日、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月に公開、修正された脆弱性は 111 件です。そのうち 15 件が「緊急」と評価されています。また 95 件が「重要」、6 件が「警告」または「注意」と評価されています。今月のセキュリティ更新プログラムでは SharePoint、Media Foundation、Chakra のスクリプトエンジンなど、Microsoft 社の各種サービスやソフトウェアで確認されたセキュリティ問題が修正されています。
Snort SID53916 ~ 53919、53924 ~ 53933、53940、53941、53950、53951

件名:Adobe 社、12 件の「クリティカル」を含む 36 件の脆弱性について修正プログラムをリリース
説明:Adobe 社は今週、Acrobat、Reader、DNG で確認された 36 件の脆弱性に対して修正プログラムをリリースしました。そのうち 12 件が「クリティカル」と評価されています。Acrobat で確認された 6 件の脆弱性では、攻撃者により任意コードを実行される危険性があります。また DNG Software Development Kit では、リモートコード脆弱性につながる 4 件のヒープオーバーフロー問題(CVE-2020-9589、CVE-2020-9590、CVE-2020-9620、CVE-2020-9621)が見つかりました。
Snort SID53563, 53564, 53485, 53486

今週最も多く見られたマルウェアファイル

SHA 256fb022bbec694d9b38e8a0e80dd0bfdfe0a462ac0d180965d314651a7bc0614f4
MD5c6dc7326766f3769575caa3ccab71f63
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos

SHA 256dddbfa95401a3f2d9999055b976a0b4ae963e128f7f0d5b043efae29e4306c4a
MD53409ff801cb177f6df26cfec8f4528ae
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201

最新情報については Talos を Twitter でフォローしてください。 SnortClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2020年5月14日に Talos Group のブログに投稿された「Threat Source newsletter for May 14, 2020」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。