脅威情報ニュースレター(2020 年 5 月 28 日)
脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
今週は『Beers with Talos』(Talos とビールを)の配信開始から 3 周年を迎えました。初回のエピソードが配信されたのは 2017 年 5 月 12 日のことです。3 周年を記念して今週は新しいエピソードをリリースしました。『In Between』(その裏側で)新エピソードは来週公開予定です。
Talos では番組内でお答えする質問を皆様から募集しています。Twitter から @TalosSecurity 宛てにご質問をお送りください。
今後予定されている公開イベント
イベント:Cisco Live U.S.
会場:オンラインストリーミング
開催日:6 月 2 ~ 3 日
講演者:Craig Williams、Sean Mason
概要:Cisco Live U.S. のバーチャルカンファレンスに無料でご招待します。このイベントでは 2 日間にわたって数多くの講演を予定しています。Talos からはアウトリーチチームの Craig Williams が登壇し、最近の脅威の概要を説明して、最新の調査結果を視聴者の皆様にご報告します。また、Cisco Talos インシデント対応チームの責任者 Sean Mason も登壇し、過去 1 年間の IR の状況と、最悪の事態に備えるうえで CTIR がどのように役立つかをご紹介します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020:「脅威環境における攻撃者の進化」)
会場:カンファレンス専用サイトからのストリーミング
会期:6 月 10 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。手口が洗練されているものと、初歩的なものです。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 最近の調査の結果、人気のビール評価アプリ Untappd にチェックインすると、軍関係者の情報が追跡される可能性があることが判明。米国国防総省を訪問したユーザのリストが収集されていた例も報告されています。
- ドイツのアンゲラ・メルケル首相、ロシアの攻撃者によるスパイ活動の標的にされたことを公表。2015 年にも、ある攻撃者グループがメルケル首相の事務所から電子メールを傍受していたことが報じられています。
- 顔認識テクノロジーをコロナウイルス時代に適応させる動きが活発化。公共の場でマスク類の着用を義務付ける動きが各国で広がる中、顔をマスク類で覆った個人の写真が顔認識アルゴリズムのトレーニングで使われ始めていると多くのプライバシー専門家たちが指摘しています。
- あるハッカー集団、iOS 10 以降の全バージョンに対応するとの触れ込みで iPhones のジェイルブレイクをリリース。すでにこのジェイルブレイク内の広告枠を購入した保護ケースメーカーも存在しています。
- 米国政府のいくつかの監視権限を継続させる法案が成立困難な見通し。米国大統領は、真偽さえ不明な政治スキャンダルが前政権であったと主張し、廃案票を全員で投じるよう共和党議員に呼びかけています。
- ドイツと台湾でコロナ禍に便乗したスパム攻撃が世界最多となっていることが最近の調査で判明。テレワークを余儀なくされる人々の数が増え続けているため、リスクは万国共通だと専門家たちが指摘しています。
- 濃厚接触を追跡するカタール政府のアプリで 100 万人を超えるユーザの個人情報が流出。問題のアプリについてカタール政府は、インストールしない者をすべて禁固刑に処すと脅しています。
- 中国のハイテク企業、同国最大規模のボットネットの排除に乗り出したことを発表。報告によると、排除の対象となるトロイの木馬「DoubleGuns」は、過去数年間に極めて多数の感染被害を出しています。
- 悪名高い IT グループ Hacking Team の創設者、同組織の活動を正式に停止すると発表。Hacking Team は世界で最も早くからコンピュータやモバイルデバイス上でスパイ活動を行うツールを開発してきた組織の 1 つでした。
- Android のほぼ全バージョンに影響を与える脆弱性を新たに発見。この脆弱性は、悪意のあるアプリの偽装に利用される可能性があります。この脆弱性は Strandhog 2.0 と呼ばれ、多くのセキュリティ研究者によれば「ほぼ検出不可能」です。
最近の注目すべきセキュリティ問題
件名:金融業界全体に多様な攻撃を仕掛ける EVILNUM マルウェアの亜種が相次いで出現
説明:金融業界の組織を標的にする EVILNUM マルウェアファミリは、検出回避の手法を次々と追加しながら進化し続けています。EVILNUM には Cardinal RAT が組み合わされています。これまではイスラエルの組織が標的とされてきましたが、今後どのような組織が標的となるかは研究者たちにも判明していません。VirusTotal に登録されているウイルス検出エンジンのうち、今月初めの時点で同マルウェアを検出できたエンジンは 8 種類のみでした。
Snort SID:54040 ~ 54045
件名:SaltStack の脆弱性を利用したデータセンターへの攻撃
説明:自動化ソフトウェア「SaltStack」で最近公表された 2 件の脆弱性を利用して、複数の攻撃者がデータセンターに攻撃を仕掛けています。SaltStack がこれらのバグを公表した後、攻撃者はごく短期間でエクスプロイトをリバースエンジニアリングしています。これまでの被害は暗号通貨マイニングマルウェアによるものに限定されていますが、SaltStack ユーザは至急 Python ベースのオープンソースソフトウェアである SaltStack にパッチを適用する必要に迫られています。
Snort SID:54030 ~ 54033
今週最も多く見られたマルウェアファイル
SHA 256:094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5:a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:682f1025b4c410ae78b1c5bdc4de7ad315f2eff292c66947c13969930028c98d
MD5:bd3b9dac9198c57238d236435bf391ca
一般的なファイル名:nssm.exe
偽装名:NSSM 32 ビット版
検出名:PUA.Win.File.Nssm::95.sbx.tg
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV、Immunet にも独自のアカウントがあります。ぜひフォローして最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 5 月 28 日に Talos Group
Tags:
