Talos 読者の皆様、こんにちは。
サイバー攻撃の犯人を特定するのは非常に困難です。それは皆さんもご存知のとおりです。ですが、いったいなぜでしょう。そしてなぜ、犯人を特定しようと躍起になるのでしょうか。Talos の最新のブログ記事では、サイバー攻撃の犯人特定(アトリビューション)が難しい理由と、民間の研究者や政府機関が一様に惑わされる罠について説明しています。
Microsoft 製品の更新はもうお済みですか。今週火曜に月例の Windows セキュリティ更新プログラムアップデートがリリースされ、注意が必要が 100 以上の脆弱性が公表されました。今回の記事では、その中でも特に注目すべき脆弱性と、それらに対応する Snort ルールをご紹介します。
1 週間のサイバーセキュリティ概況
- コロナ禍により、2020 年米大統領選挙のセキュリティ対策で新たなレベルの課題
が浮上。先週開催された Blackhat と DEFCON では、郵便投票の落とし穴やコロナ禍に関連したフェイクニュースについて複数の講演で解説されました。 - 米国各州で選挙に先駆け電子投票機の撤廃が進む。完全にペーパーレスにするには課題が多く、対応状況も地域差が激しいのが現状です。
- 今年の米大統領選挙でドナルド・トランプを再選させようと、ロシアが介入する動きがあると報告するホワイトハウス機密文書が一部漏洩。2016 年の選挙時にも同様の報告が漏洩しました。
- Windows 2000 にまで遡る Windows の脆弱性を、複数のセキュリティ研究者が発見。この脆弱性がエクスプロイトされた場合、プリンタに情報を送信するスプーラサービスが攻撃者によって停止される可能性があります。
- 米国における TikTok の処遇はいまだ不透明。 トランプは中国製アプリ TikTok を排除する構えを崩していませんが、TikTok 社はアプリストアでの配信継続を求めて訴えを起こす構えです。
- 複数世代にまたがる一部の Qualcomm 製チップで合計 400 以上の脆弱性が発見される。その中でも特に深刻な脆弱性がエクスプロイトされると、Google や Samsung 製のスマートフォンからユーザの個人情報が盗み出される可能性があります。
- イスラエル、北朝鮮政府の支援を受けたハッカー集団による攻撃を撃退したと発表。イスラエル当局によると、攻撃者は国防関連の受託業者から情報を窃取しようとしていました。
- 約 7,000 ドル相当の機器を使用することで携帯電話の盗聴が可能であることが判明。研究者たちは、この攻撃方法を実際に使用するにはさまざまな制約があるとしていますが、コンセプト実証テストはこれまでのところ成功しています。
最近の注目すべきセキュリティ問題
タイトル:Microsoft 社がセキュリティ更新プログラムの一環として 16 件の重大な脆弱性を公表
詳細:Microsoft 社は今週火曜日に、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 120 件の脆弱性についての情報を公開しました。うち 16 件は「緊急」に分類され、中には、現在実際にエクスプロイトが確認されている脆弱性も含まれます。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回「緊急」に分類された脆弱性を最も多く含む製品は Microsoft Media Foundation です。攻撃者はこれらの脆弱性(CVE-2020-1379、CVE-2020-1477、CVE-2020-1492、CVE-2020-1525、CVE-2020-1554)をエクスプロイトしてメモリを破損させ、任意コードをリモート実行できる可能性があります。いずれの脆弱性も、細工されたドキュメントまたは Web ページを開いたときにトリガーされる可能性があります。
Snort SID:54733 〜 54746、54753、54754
タイトル:シスコ製の AnyConnect VPN とスモールビジネス向けスイッチおよびルータに含まれる重大度「高」の脆弱性が公開
詳細:シスコは先週、同社の複数のスイッチ製品、ルータ製品、および VPN サービスを更新するようユーザに呼びかけました。影響を受ける製品の一部は、攻撃者によって強制的に再起動され、オフラインにされる可能性があります。また、Windows 用 AnyConnect VPN クライアントでは、ダイナミック リンク ライブラリ(DLL)ハイジャック攻撃を可能にする脆弱性も見つかっています。攻撃の標的にされた Windows システムからログイン情報が盗み出されると、システムレベル権限で悪意のあるコードが実行される危険性があります。
Snort SID:54698 〜 59702
今週最も多く見られたマルウェアファイル
SHA 256: 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 8 月 13 日に Talos Group
Authors