脅威情報ニュースレター(2020 年 8 月 20 日)
Talos 読者の皆様、こんにちは。
政治的、社会的な主張を持って行われるサイバー攻撃は「ハクティビズム」と呼ばれ、映画の中では決まってクールで高潔な行為として描かれます。ビデオゲームやテレビ番組でも「ハッカーのヒーロー」には事欠きません。しかし現実の世界で、自分の考えが絶対的に正しいという信念のもとに機密情報を公開したりデータ侵害を行ったりした場合、どのような結果を招くでしょうか。
これが『Beers with Talos(Talos とビールを)』
の最新エピソードのテーマです。また、ハクティビズム、疑似匿名性、市民運動が目指す社会への影響についての掘り下げた倫理的考察も行っています。
1 週間のサイバーセキュリティ概況
- 米国連邦選挙支援委員会(EAC)、大手電子投票機メーカーと経営陣を批判。EAC は、ある大手メーカーが製造する電子投票機の標示から、同委員会の認定を受けているという文言を削除するよう求めています。
- Tor Browser を開発する Tor Project が、5 月と 7 月にアウトバウンドトラフィックをモニタリングする出口リレーを検出したと発表。同組織は、複数のリレーが暗号通貨交換サイトにトラフィックをリダイレクトしていた事実を公表しています。
- Emotet スパムボットネットに対する効果的なソリューションの配布開始から 6 か月以上が経過。EmoCrash ツールは事実上キルスイッチとして機能し、ユーザのネットワークが Emotet に感染しているかどうかをモニタリングします。
- Oracle 社、TikTok 米国事業の買収競争に参入。Microsoft 社をはじめとするハイテク大手への事業売却は、人気の SNS アプリ TikTok を米国のアプリストアから排除するというドナルド・トランプ米大統領の策略に対する解決策になるかもしれません。
- カナダ政府、クレデンシャル スタッフィング攻撃を受け、先週末に一部の公共サービスサイトを閉鎖。閉鎖されたページには、新型コロナ給付金の情報提供サイトも含まれていました。
- 2020 年米大統領選挙に向け、選挙管理当局の業務がいっそう困難に。さまざまなサイバー脅威に加え、郵便投票を支える郵便仕分けシステムが全国で廃棄されるなど、米国の郵便業務にもいくつかの重大な変更が生じています。
- 著名人の Twitter アカウントを先月ハイジャックした攻撃手口が模倣され、他の組織を標的に。ユーザを欺いてログイン情報を聞き出す「ボイスフィッシング」が、ソーシャルエンジニアリングの新たな手口として広がりつつあります。
- 悪名高い Lazarus グループが新たな RAT(リモートアクセス型トロイの木馬)で攻撃を再び活発化。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は、政府受託業者を標的としたマルウェア「BLINDINGCAN」に関する新しいレポートを発表しました。
- 信用調査機関 Experian の南アフリカ支店、2,400 万人のユーザに影響するデータ漏洩が発生したことを発表。ただし同社によれば、すでに攻撃者を特定し、盗み出された記録を取り返したとのことです。
最近の注目すべきセキュリティ問題
タイトル:米国の情報機関が Taidoor 感染の増加を警告
説明:米国の諜報機関は先週、政府機関、受託業者、シンクタンクに対してマルウェア Taidoor について注意を呼びかける共同声明を発表しました。Taidoor が世に出回って検出されるようになったのは 2012 年以降のことですが、開発時期は 2008 年にまで遡ると考えられています。米国土安全保障省サイバーセキュリティ インフラストラクチャ セキュリティ庁、米国防総省サイバー軍(CyberCom)、FBI は共同で、コマンドアンドコントロール(C2)サーバとの通信を隠蔽する新種のマルウェアの概要を説明する声明を発表しました。この RAT はファイルの窃取など、さまざまなスパイ活動を行います。
Snort SID:54801
タイトル:機密ネットワークへの侵入に使用される Linux マルウェア
説明:ロシア政府の支援を受けたハッカー集団が開発したものと考えられる新種のマルウェア群が、諜報機関の機密情報を扱うネットワークを標的にしていると報じられています。CISA によれば、Drovorub と呼ばれるこのマルウェアは最近まで発見されていませんでしたが、以前からネットワーク上でスパイ活動を行い、機密情報を盗み出していました。Drovorub はスパイ活動のためのあらゆる機能を備えたツールキットで、Linux デバイスに感染する機能、システムに常駐して検出を回避するカーネル、C2 にアクセスするサーバ、感染したマシンと攻撃者が制御するサーバの間の仲介として機能するエージェントなどを備えています。当局は Linux ユーザは対してバージョン 3.7 以降へのアップグレードを呼びかけています。
Snort SID:54793
今週最も多く見られたマルウェアファイル
SHA 256:449f4a4524c06e798193c1d3ba21c2d9338936375227277898c583780392d4d8
MD5: 179c09b866c9063254083216b55693e6
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名: SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:9836cf123caa799eaf57a449ba6da0cdecf0445f58a8238fa0d98b19e93cdb22
MD5: 26b2996b69542d039c303e2fee6dac81
一般的なファイル名:226a60f6-4340-45e9-9b01-d95106369b83
偽装名:なし
検出名:W32.9836CF123C-100.SBX.TG
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 8 月 20 日に Talos Group
Tags:
