Cisco Japan Blog
Share

脅威情報ニュースレター(2020 年 6 月 25 日)


2020年7月3日


Talos 読者の皆様、こんにちは。

先日 Cisco Talos では「ブラックリスト」と「ホワイトリスト」という用語を「ブロックリスト」と「許可リスト」に置き換えることにしました。いずれもセキュリティ業界では一般的な用語ですが、「ホワイト(白)」を肯定的に、「ブラック(黒)」を否定的な意味として安易に使うことを避けるのが狙いです。

他にも『Beers with Talos』と『Talos Takes』に新しいエピソードがリリースされています。ポッドキャストのページpopup_iconで確認するか、お使いのポッドキャストアプリにダウンロードしてください。

今後予定されている公開イベント

イベント:「助けて!サポートが必要!外部の IR チームに協力を依頼する(Help! We need an adult! Engaging an external IR team)」/ DFIR Summit & Training 2020popup_icon
会場:ストリーミング配信
会期:7 月 16 〜 25 日
講演者:Liz Waddell
概要:インシデントが危機的なレベルに達したときに、外部のフォレンジックチームを導入することが非常に増えています。外部 IR チームのインシデント対応リーダーの Liz は、この危機にうまく対応した人を多く知っていますが、あまりうまく対応できなかった人もいました。このプレゼンテーションでは、追加の緊急サポートが必要な場合の対応方法について取り上げます。緊急サポートを受ける際に想定される準備、つまり、作業範囲および目的に関する外部チームとの合意、リモートおよびオンサイトでのフォレンジックの準備、ツールの導入、必要なデータ/ログの準備、コマンドセンターの確立について説明します。

1 週間のサイバーセキュリティ概況

  • ユーザの Web 使用状況を追跡してターゲティング広告を実現する BlueKai ソフトウェアが Web 上のサーバを保護しないまま放置popup_icon。サーバの脆弱性はその後修正されましたが、誰でもこのサーバをエクスプロイトして何百万ものレコードにアクセスできた可能性があります。
  • CAPTCHA に入力させながらpopup_icon最終的にペイロードをダウンロードさせる攻撃が増加。目標は、セキュリティ調査者が使用する自動検出プラットフォームをバイパスすることです。
  • 米国内国歳入庁、携帯電話の位置情報データを利用popup_iconして脱税者を追跡。同庁の調査員が、米国人が保有する何百万もの携帯電話の位置情報を保存した商用データベースに有料でアクセスしていました。
  • FBI、Facebook と電子商取引サイトの Etsy を利用して、6 月初旬のミネソタ州での平和的な抗議活動の最中に放火犯を追跡popup_icon。あるレポートによると、FBI は Facebook をスキャンして「暴動が発生しそうな場所」を探していたようです。
  • IBM 社の最近の調査で、新型コロナウィルスのパンデミックの際に米国人の在宅勤務が増えたことによる多くのセキュリティ上の問題popup_iconが明らかに。同調査への回答者の 52% がリモートでの作業に個人のパソコンを使用し、48% が自社で新たなセキュリティトレーニングを受けていないことが判明しました。
  • Google 社、1,600 人を超える従業員が経営陣に書簡を送り、警察に自社のテクノロジーを販売しないpopup_iconよう要求。書簡には「Google は警察の人種差別的なシステムから利益を得ようとしています。これは、Google が人種差別に荷担しているということです」と書かれています。
  • Web サイトへのログイン情報を盗んだ攻撃者が逆に多要素認証を有効popup_iconにし、アカウントの復旧がさらに困難に。盗まれる前にできるだけ早く多要素認証を有効にすることをお勧めします。
  • 「BlueLeaks」と呼ばれる新たなデータ群popup_iconに法執行機関から盗まれた大量のドキュメントが含まれている模様。ハッキンググループの Anonymous は、200 を超える州、地方自治体、連邦警察、法執行機関から記録や財務データなどを窃取したと主張しています。
  • 中国とオーストラリア、中国が支援する攻撃者popup_iconがオーストラリア議会にサイバー攻撃を行ったとの主張をめぐり非難の応酬。米国もこの主張を支持し、中国の行動を非難しています。

最近の注目すべきセキュリティ問題

件名:IndigoDrop、軍事関連文書を装って拡散し Cobalt Strike を配信
説明:Cisco Talos は長年にわたり、軍事関連文書を装った不正な Microsoft Office ドキュメント(Maldoc)を使うマルウェア攻撃の動向を観察し続けてきました。攻撃の狙いは、本格的な RAT を備えた Cobalt Strike ビーコンの拡散にあります。Cobalt Strike ビーコンを仕込まれたドキュメントでは、悪意のあるマクロによって、高度にモジュール化された感染が段階的に進められます。攻撃の標的は、南アジア諸国の軍組織および政府機関であると考えられます。ネットワークベースの検出技術も重要ですが、今回のような脅威に備えるには、エンドポイント保護と組み合わせて複数のセキュリティレイヤを実装することが不可欠です。
Snort SID54373 ~ 54376

件名:Qbot が再登場し米国の銀行を標的に
説明:変化し続けている情報窃取型マルウェアの Qbot が再登場し、米国の銀行を標的にしています。脅威調査者によると、このマルウェアファミリは 6 時間サイクルで検出に適応して回避しています。このマルウェアは、フィッシングメール、公開済みのエクスプロイト、悪意のあるファイル共有などを介して拡散します。拡散した Qbot は被害者のマシンで静かに待機し、被害者が銀行の Web サイトにアクセスしたら活性化してユーザのログイン情報を盗み出します。
Snort SID54384 〜 54387

今週最も多く見られたマルウェアファイル

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 256094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188popup_icon
MD5a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201

SHA 2568e03f05ecd08cb78f37ccd92c48cd9d357c438112b85bd154e8261c19e38a56epopup_icon 
MD560ba2a4b8ea5982a3a671a9e84f9268c
一般的なファイル名:Diagnostics.txt
偽装名:なし
検出名:Win.Dropper.Shadowbrokers::222044.in02

最新情報については Talos を Twitterpopup_icon でフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2020 年 6 月 35 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for June 25, 2020popup_icon」の抄訳です。

 

Tags:
コメントを書く