脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
在宅勤務中もポッドキャスト『Beers with Talos(Talos とビールを)』をお届けします。最新エピソードは「The In-Between」です。今回もホストがセキュリティ以外の話題をお伝えするほか、Twitter で寄せられたリスナーからの質問にもお答えします。
今週の最も差し迫った脅威は、Android マルウェア DenDroid の亜種である WolfRAT です。WolfRAT は、Facebook Messenger、WhatsApp、Line など、さまざまなメッセージアプリのユーザに対してエクスプロイトを試みています。標的となっているのはタイのユーザです。
興味深いセキュリティ関連のトピックをご希望であれば、シスコの研究者が最近発見した、コネクテッドカーの脆弱性についての記事をご覧ください。
今後予定されている公開イベント
イベント:Cisco Live(米国)
会場:オンラインストリーミング
会期:6 月 2 ~ 3 日
講演者:Craig Williams、Sean Mason
骨子:Cisco Live(米国)のバーチャル会議に無料でご参加ください。このイベントでは 2 日間にわたって数多くの講演が行われます。Talos のアウトリーチチームの Craig Williams は、最近の脅威の概要や、Talos の最近の調査について、最新情報を視聴者にお届けします。Cisco Talos のインシデント対応(IR)責任者である Sean Mason は、過去 1 年間の IR の状況と、最悪の事態に備えるうえで CTIR がどのように役に立つかについて説明します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020:「脅威環境における攻撃者の進化」)
会場:カンファレンス専用サイトからのストリーミング
会期:6 月 10 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。手口が洗練されているものと、初歩的なものです。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 新たなバックドアがハッカーに使用され、複数のオンライン マルチプレーヤー ビデオ ゲームがマルウェアに感染。ゲーム内通貨を盗まれる、別のマルウェアに感染する、などの被害が出ています。
- 不正受給を狙うハッカー集団により、米国の複数州の失業保険申請サイトが総当たり攻撃を受ける。コロナ禍の中、攻撃者が盗難データを使って Web サイトにブルートフォース攻撃を行い、失業給付金を不正に申請しようとしているという報告がありました。
- スイスの航空会社で先日データ漏えいが発生。900 万人分の顧客情報が流出しましたが、情報が悪用された証拠はまだないと同社は述べています。
- ウクライナ政府、2019 年の大規模なデータ漏えい事件の犯人を逮捕。この事件は「Collection # 1」と呼ばれ、データダンプから 7 億 7,300 万件の電子メールアドレスが流出しました。
- 一部のいわゆる「マルウェアテストサービス」は、攻撃の品質を確認するために攻撃者が利用していることが発覚。マルウェアのリバースエンジニアリングや検出エンジンの作成では、マルウェア自体の脆弱性が利用されます。攻撃者の狙いは、テストによってそれらの脆弱性を取り除くことです。
- 米国の上院議員グループ、全議員の通話をすべて暗号化する取り組みを推進。仕事や投票をリモートで行う議員が増えてきているため、6 月 12 日までに上院で暗号化計画を策定するよう求めています。
- イスラエルの多数の Web サイトでは、同一のサイバー攻撃により反イスラエルの資料が投稿される。これらのサイトは、イスラエルの主要都市が燃えているビデオと警告文で書き換えられました。
- ある Android マルウェア、新型コロナ感染症に便乗する戦略に変更。感染すると、マルウェアがユーザの連絡先情報と SMS メッセージを盗めるようになります。
- フランス政府、独自開発した新型コロナ感染追跡アプリを擁護。アプリが収集したデータはすべて一元管理され、保護されると述べています。民間企業や政府機関が独自のソリューションを開発していますが、ヨーロッパ各国は、感染追跡とプライバシーとのバランスを取ることに苦慮しています。
- あるオンラインのサイバー セキュリティ スクールが英国で人気を拡大。この分野に進むよう 10 代の若者に促す無料の授業を提供しています。コロナ禍ではサマーキャンプなど対面の活動が中止されているため、さらに関心が高まると予想されます。
最近の注目すべきセキュリティ問題
件名:アジアのスパイ攻撃で RAT の「Gh0st」が大きな役割を担っていると判明
説明:セキュリティ企業 2 社による共同分析によると、アジアの攻撃者は Gh0st のバックドアを使用してアジア各国でスパイ攻撃を仕掛けています。標的だと考えられているのは政府機関、通信会社、ガス会社などです。攻撃者は Gh0st を使うことで、スクリーンショットを取得し、コンソールでコマンドを実行し、コマンド&コントロール(C2)サーバにデータを送信できます。
Snort SID:53961、53962
件名:DenDroid variant goes after Android users in Thailand
説明:DenDroid の亜種が登場し、タイの Android デバイスとユーザを標的にしています。この亜種は Cisco Talos が「WolfRAT」と呼ぶもので、WhatsApp、Facebook Messenger、Line などのメッセージアプリをエクスプロイトします。Talos では、悪名高い Wolf Research が開発者である可能性が非常に高いと考えています。しかし亜種のコードは驚くほど未熟で、重複やオープンソースプロジェクトの完全な流用、クラスのインスタンス化の欠如、不安定なパッケージ、パネルの保護不足などが見受けられます。
Snort SID:54004
今週最も多く見られたマルウェアファイル
SHA 256:64f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8b
MD5:42143a53581e0304b08f61c2ef8032d7
一般的なファイル名: JPMorganChase Instructions SMG 82749206.pdf
偽装名:なし
検出名:Pdf.Phishing.Phishing::malicious.tht.talos
SHA 256:dddbfa95401a3f2d9999055b976a0b4ae963e128f7f0d5b043efae29e4306c4a
MD5:3409ff801cb177f6df26cfec8f4528ae
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
MD5:b065af93b5fd551526705b5968d0ca10
一般的なファイル名:vscekgp.exe
偽装名:NTLM Shared Functionality
検出名:W32.28C33A9676-100.SBX.TG
SHA 256:a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776
MD5:5d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.Adware.Flashserv::in03.talos
最新情報については Talos を Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 5 月 21 日に Talos Group のブログに投稿された「Threat Source newsletter for May 21, 2020」の抄訳です。