脅威リサーチ

脅威情報ニュースレター（2020 年 7 月 2 日）

TALOS Japan
2020年7月21日

Talos 読者の皆様、こんにちは。

今週特に注目すべき最新情報は、Valak マルウェアに関する調査結果です。Valak は正規の電子メールスレッドを乗っ取り被害者のマシンに侵入する情報窃取型マルウェアです。攻撃者は被害者本人を装って電子メールスレッドに割り込み、会話の相手に添付ファイルを送り込みます。

また、今すぐパッチを適用すべき重大な脆弱性も 2 件あります。1 つは Mozilla Firefox で確認された情報漏えいの脆弱性、もう 1 つは LEADTOOLS キットに含まれるリモートコード実行の脆弱性です。

今後予定されている公開イベント

イベント：「助けて！サポートが必要！外部の IR チームに協力を依頼する（Help! We need an adult! Engaging an external IR team）」/ DFIR Summit & Training 2020
会場：ストリーミング配信
会期：7 月 16 〜 25 日
講演者：Liz Waddell
概要：インシデントが危機的なレベルに達したときに、外部のフォレンジックチームを導入することが非常に増えています。外部 IR チームのインシデント対応リーダーの Liz は、この危機にうまく対応した人を多く知っていますが、あまりうまく対応できなかった人もいました。このプレゼンテーションでは、追加の緊急サポートが必要な場合の対応方法について取り上げます。緊急サポートを受ける際に想定される準備、つまり、作業範囲および目的に関する外部チームとの合意、リモートおよびオンサイトでのフォレンジックの準備、ツールの導入、必要なデータ/ログの準備、コマンドセンターの確立について説明します。

1 週間のサイバーセキュリティ概況

Amazon 社の顔認識技術に関する調査の結果、白人以外の認識精度が低いことが判明。テストを実施したセキュリティ研究者によると、犯罪者と誤認された著名な政治家は 100 人を超えています。
Apple 社、iOS 14 にユーザ自身が広告トラッキングをオプトアウトできるオプションを搭載すると発表。同社によると、新しい OS ではアプリが取得できる位置情報の精度も変更できます。自身の所在地を大まかな地域レベルにまでぼかすことも可能です。
Twitter 社、全米各地の警察署からデータを大量に流出させたグループに対してサービス利用を速やかに停止したと発表。いわゆる「BlueLeaks」の内容は、メールアドレス、予算、犯罪被害者の詳細などでした。
エンドツーエンドの暗号化の流れを後退させる新法案を共和党議員らが提出。可決された場合、ソフトウェアメーカーやハードウェアメーカーに対して「合法バックドア」の提供が義務付けられることになります。
Coca-Cola 社、Ford 社、Nike 社、Starbucks 社ほか、多数のグローバルブランドがソーシャルメディアへの広告掲載を一時停止。各社とも Twitter や Facebook などのサイトに対して、差別的発言をブロックする措置を本格化するよう求めています。
ライス大学、非営利団体と提携してオープンソーステクノロジーを共同開発。その目的は、州や地方自治体の郵便投票処理を支援することにあります。完成すれば、投票者の情報を安全に保護しながら、選挙事務所で市販のプリンタやスキャナを使用できるようになります。
カリフォルニア大学サンフランシスコ校（UCSF）、同校のサーバに侵入した攻撃者に 114 万ドルの身代金を支払ったと発表。UCSF は新型コロナウイルス感染症の研究に深く関わっています。
Google ドキュメントや Gmail などで、G Suite 製品の古いバージョンが 8 月で動作停止。今週 Google 社はユーザに対し、8 月 12 日までに旧バージョンを更新する必要があると警告しています。
全米の学校区、新型コロナウイルス感染症の蔓延以前から生徒データのセキュリティ確保に苦慮。授業が次々とオンライン化される中、複雑さはかつてないレベルにまで増大していますが、それを緩和するための新たな資金が投入される目処は立っていません。
オーストラリア連邦政府、今後 10 年間で 10 億ドルの予算を投じ、防御型サイバーセキュリティを強化することを計画。これに先立つこと数週間前には、外国政府の支援を受けた攻撃者により各種の行政サービスがサイバー攻撃を受けたとして非難声明を出しています。

最近の注目すべきセキュリティ問題

タイトル：Evil Corp がトロイの木馬「Zeus」の亜種を展開
説明：悪名高いトロイの木馬 Zeus を作成したことで知られる Evil Corp が大手企業を盛んに攻撃しています。求職者の応募書類や履歴書に見せかけたダミー文書を使うのが特徴です。新型コロナウイルス感染症によるパンデミックで職を失い、現在休職中であるという内容の自己紹介文がフィッシングメールで使用されています。Evil Corp は最近「WastedLocker」という新しいランサムウェアもリリースしています。同グループが以前使用していた BitPaymer に類するランサムウェアと目されています。
参照資料：https://www.computerweekly.com/news/252485331/Evil-Corps-latest-ransomware-project-spreading-fast

https://www.techrepublic.com/article/cybercriminals-now-spoofing-job-hunters-to-deploy-password-stealing-malware/
Snort SID：54407、54408

タイトル：Microsoft Exchange ユーザを標的にしたプラグイン「Valak」
説明：最近、Microsoft Exchange サーバに特化した機能が情報窃取型マルウェア「Valak」に追加され、ユーザのメールログイン情報が窃取される被害が続出しています。調査研究者によって過去 6 か月間に 30 種類以上の亜種が見つかっていることから、攻撃者の適応の速さが伺われます。「返信チェーン攻撃」という最新の手口では、マルウェアによってメールチェーンにフィッシングメールが挿入されます。ユーザ本人が以前に返信した無害なメールチェーンが選ばれる点で、攻撃がより巧妙化しています。
Snort SID：54401 ～ 54404

今週最も多く見られたマルウェアファイル

SHA 256：e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5：8193b63313019b614d5be721c538486b
一般的なファイル名：SAntivirusService.exe
偽装名：SAService
検出名：PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256：094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5：a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名：FlashHelperServices.exe
偽装名：Flash Helper Service
検出名：PUA.Win.Adware.Flashserv::100.sbx.vioc

SHA 256：85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5：8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名：eternalblue-2.2.0.exe
偽装名：なし
検出名：W32.85B936960F.5A5226262.auto.Talos

SHA 256：3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5：47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名：qmreportupload.exe
偽装名：qmreportupload
検出名：Win.Trojan.Generic::95.sbx.tg

SHA 256：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5： e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名：なし
検出名：Win.Dropper.Agentwdcr::1201

Twitter で Talos をフォローして最新情報を入手してください。Snort 、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら（またはお使いのポッドキャストアプリ）から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。