脅威情報ニュースレター（2020 年 6 月 25 日）

Talos 読者の皆様、こんにちは。

先日 Cisco Talos では「ブラックリスト」と「ホワイトリスト」という用語を「ブロックリスト」と「許可リスト」に置き換えることにしました。いずれもセキュリティ業界では一般的な用語ですが、「ホワイト（白）」を肯定的に、「ブラック（黒）」を否定的な意味として安易に使うことを避けるのが狙いです。

他にも『Beers with Talos』と『Talos Takes』に新しいエピソードがリリースされています。ポッドキャストのページで確認するか、お使いのポッドキャストアプリにダウンロードしてください。

今後予定されている公開イベント

イベント：「助けて！サポートが必要！外部の IR チームに協力を依頼する（Help! We need an adult! Engaging an external IR team）」/ DFIR Summit & Training 2020
会場：ストリーミング配信
会期：7 月 16 〜 25 日
講演者：Liz Waddell
概要：インシデントが危機的なレベルに達したときに、外部のフォレンジックチームを導入することが非常に増えています。外部 IR チームのインシデント対応リーダーの Liz は、この危機にうまく対応した人を多く知っていますが、あまりうまく対応できなかった人もいました。このプレゼンテーションでは、追加の緊急サポートが必要な場合の対応方法について取り上げます。緊急サポートを受ける際に想定される準備、つまり、作業範囲および目的に関する外部チームとの合意、リモートおよびオンサイトでのフォレンジックの準備、ツールの導入、必要なデータ/ログの準備、コマンドセンターの確立について説明します。

1 週間のサイバーセキュリティ概況

• ユーザの Web 使用状況を追跡してターゲティング広告を実現する BlueKai ソフトウェアが Web 上のサーバを保護しないまま放置。サーバの脆弱性はその後修正されましたが、誰でもこのサーバをエクスプロイトして何百万ものレコードにアクセスできた可能性があります。
• CAPTCHA に入力させながら最終的にペイロードをダウンロードさせる攻撃が増加。目標は、セキュリティ調査者が使用する自動検出プラットフォームをバイパスすることです。
• 米国内国歳入庁、携帯電話の位置情報データを利用して脱税者を追跡。同庁の調査員が、米国人が保有する何百万もの携帯電話の位置情報を保存した商用データベースに有料でアクセスしていました。
• FBI、Facebook と電子商取引サイトの Etsy を利用して、6 月初旬のミネソタ州での平和的な抗議活動の最中に放火犯を追跡。あるレポートによると、FBI は Facebook をスキャンして「暴動が発生しそうな場所」を探していたようです。
• IBM 社の最近の調査で、新型コロナウィルスのパンデミックの際に米国人の在宅勤務が増えたことによる多くのセキュリティ上の問題が明らかに。同調査への回答者の 52% がリモートでの作業に個人のパソコンを使用し、48% が自社で新たなセキュリティトレーニングを受けていないことが判明しました。
• Google 社、1,600 人を超える従業員が経営陣に書簡を送り、警察に自社のテクノロジーを販売しないよう要求。書簡には「Google は警察の人種差別的なシステムから利益を得ようとしています。これは、Google が人種差別に荷担しているということです」と書かれています。
• Web サイトへのログイン情報を盗んだ攻撃者が逆に多要素認証を有効にし、アカウントの復旧がさらに困難に。盗まれる前にできるだけ早く多要素認証を有効にすることをお勧めします。
• 「BlueLeaks」と呼ばれる新たなデータ群に法執行機関から盗まれた大量のドキュメントが含まれている模様。ハッキンググループの Anonymous は、200 を超える州、地方自治体、連邦警察、法執行機関から記録や財務データなどを窃取したと主張しています。
• 中国とオーストラリア、中国が支援する攻撃者がオーストラリア議会にサイバー攻撃を行ったとの主張をめぐり非難の応酬。米国もこの主張を支持し、中国の行動を非難しています。

最近の注目すべきセキュリティ問題

件名：IndigoDrop、軍事関連文書を装って拡散し Cobalt Strike を配信
説明：Cisco Talos は長年にわたり、軍事関連文書を装った不正な Microsoft Office ドキュメント（Maldoc）を使うマルウェア攻撃の動向を観察し続けてきました。攻撃の狙いは、本格的な RAT を備えた Cobalt Strike ビーコンの拡散にあります。Cobalt Strike ビーコンを仕込まれたドキュメントでは、悪意のあるマクロによって、高度にモジュール化された感染が段階的に進められます。攻撃の標的は、南アジア諸国の軍組織および政府機関であると考えられます。ネットワークベースの検出技術も重要ですが、今回のような脅威に備えるには、エンドポイント保護と組み合わせて複数のセキュリティレイヤを実装することが不可欠です。
Snort SID：54373 ～ 54376

件名：Qbot が再登場し米国の銀行を標的に
説明：変化し続けている情報窃取型マルウェアの Qbot が再登場し、米国の銀行を標的にしています。脅威調査者によると、このマルウェアファミリは 6 時間サイクルで検出に適応して回避しています。このマルウェアは、フィッシングメール、公開済みのエクスプロイト、悪意のあるファイル共有などを介して拡散します。拡散した Qbot は被害者のマシンで静かに待機し、被害者が銀行の Web サイトにアクセスしたら活性化してユーザのログイン情報を盗み出します。
Snort SID：54384 〜 54387

今週最も多く見られたマルウェアファイル

SHA 256：85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5：8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名：eternalblue-2.2.0.exe
偽装名：なし
検出名：W32.85B936960F.5A5226262.auto.Talos

SHA 256：094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5：a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名：FlashHelperServices.exe
偽装名：Flash Helper Service
検出名：PUA.Win.Adware.Flashserv::100.sbx.vioc

SHA 256：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5：e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名：c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名：なし
検出名：Win.Dropper.Agentwdcr::1201

SHA 256：15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5：799b30f47060ca05d80ece53866e01cc
一般的なファイル名：mf2016341595.exe
偽装名：なし
検出名：Win.Downloader.Generic::1201

SHA 256：8e03f05ecd08cb78f37ccd92c48cd9d357c438112b85bd154e8261c19e38a56e 
MD5：60ba2a4b8ea5982a3a671a9e84f9268c
一般的なファイル名：Diagnostics.txt
偽装名：なし
検出名：Win.Dropper.Shadowbrokers::222044.in02

最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら（またはお使いのポッドキャストアプリ）から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

本稿は 2020 年 6 月 25 日に Talos Group のブログに投稿された「Threat Source newsletter for June 25, 2020」の抄訳です。