脅威情報ニュースレター(2020 年 8 月 6 日)
Talos 読者の皆様、こんにちは。
データの安全をいかに保ち、最悪の事態にいかに備えるかについて、これまでも Talos から多くの記事を投稿してきました。でも実際に最悪の事態が生じた場合、どうすればよいのでしょうか。
ポッドキャスト『Beers with Talos(Talos とビールを)』の最新エピソード
では、不備がなかったにもかかわらず侵害を受けた場合に、どのように対処すべきかを手順に沿って紹介しています。
また、Microsoft Azure Sphere で Talos が発見した複数の脆弱性についても、詳しく取り上げています。これらの発見により、Cisco Talos の研究者は年内の受賞が決まりました。最新号の『脅威のまとめ』では、警戒すべき侵入の痕跡(IOC)の分析情報をお届けします。
1 週間のサイバーセキュリティ概況
- 米国の警察当局、先月の大規模な Twitter ハッキング事件に関与した疑いで 17 歳の少年を逮捕。この事件では、Barack Obama 前大統領や Elon Musk 氏をはじめとする著名人のアカウントが相次いで乗っ取られ、ビットコイン詐欺の拡大に利用されました。
- 逮捕された 17 歳の少年が Zoom によるオンライン審問に姿を見せた際、複数のハッカーが進行を妨害。地方裁判所は審問の情報を事前に公開していたため、オンライン審問には実質的に誰でも参加できる状況でした。しかし、あるユーザがポルノ映像を送信したことが引き金となって、審問は中止に追い込まれています。
- セキュリティ研究者らが PC のブートプロセスに脆弱性を発見。セーフブートが完了した後でも、マルウェアが侵入先のマシンに残り続ける恐れがあります。数十億台のデバイスが影響を受ける可能性があり、修正や段階的廃止には数年を要するものと見られます。
- 欧州連合(EU)、サイバー攻撃に関して国家への制裁権を初めて発動。ロシア、中国、北朝鮮とつながりのある個人全員に、今週になって制裁措置が発動されました。その中には、2017 年に甚大な被害を及ぼした NotPetya 攻撃に関与した人物も含まれます。
- 製造業で使用されているオートメーション技術に関して、複数の脆弱性およびセキュリティ上の欠陥をセキュリティアナリストらが発見。問題が見つかったのは、生産性向上ロボットを管理するためのプログラミング環境です。
- 国家の支援を受けて 2020 年の米国総選挙を妨害している攻撃者に関して、情報の提供に最高で 1,000 万ドルの懸賞金を米国政府が設定。米国国務省は、「選挙をサイバー攻撃によって妨害する目的で、外国政府と連携しているか、外国政府に雇われている人物」を捜索中としています。
- シスコ、重大度の高い複数の脆弱性が Cisco AnyConnect VPN Client および Cisco DNA Center ソフトウェアに存在することを開示。スモールビジネス向けスイッチについても、サービス妨害(DoS)の脆弱性が見つかりました。
- 米国国家安全保障局(NSA)、職員に対して新たな注意を喚起。各自のモバイルデバイスで、スマートフォンを探す機能、Bluetooth、Wi-Fi を可能な限りオフにするよう通達しています。また、VPN を使用して各自の位置情報を秘匿化することも職員に求めています。
- TikTok、米国における情勢は今なお不透明。米国のトランプ大統領、Microsoft 社、中国政府は、このソーシャルメディアアプリの先行きについて堂々巡りの議論を続けています。 報道によれば、Microsoft 社が TikTok を買収する可能性もあります。
最近の注目すべきセキュリティ問題
件名:WastedLocker に新たな手口が加わり、大きく報じられる
説明:ランサムウェアの WastedLocker が、Windows のメモリ管理機能を使用して検出を回避する手口を使い始めました。同マルウェアは、利用が拡大していることで最近大きく報道されたほか、GPS 企業の Garmin 社に対する先日のサイバー攻撃で使われた可能性もあります。現在の WastedLocker は処理を偽装し、侵入先マシンに導入されているランサムウェア防御を回避できるように改良されています。
Snort SID:54685 ~ 54692
件名:Microsoft 社が Azure Sphere の脆弱性を修正
説明:Cisco Talos は先日、Microsoft 社の Azure Sphere に 7 件の脆弱性を発見しました。Azure Sphere とは、IoT アプリケーションのセキュリティを念頭に置いて設計された、クラウド接続 SoC プラットフォームです。Azure Sphere プラットフォームを取り巻くインフラストラクチャは Microsoft 社の Azure Sphere クラウドです。セキュアな更新、アプリの導入、デバイスの整合性の定期的な検証を行います。内部的には、SoC は異なる役割を持つ複数の ARM コアのセットで構成されています。Azure Sphere に、連鎖する可能性のある 2 件の脆弱性を発見しました。悪意のあるアプリケーションを攻撃者が起動できる場合、/mnt/config パーティション内の任意の場所に任意コードを書き込まれ、昇格権限を取得される危険性があります。
Snort SID:54501 ~ 53504
今週最も多く見られたマルウェアファイル
SHA 256:e66d6d13096ec9a62f5c5489d73c0d1dd113ea4668502021075303495fd9ff82
MD5:f0fdc17674950a4eaa4bbaafce5007f6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:W32.Auto:e66d6d1309.in03.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:32155b070c7e1b9d6bdc021778c5129edfb9cf7e330b8f07bb140dedb5c9aae7
MD5:73d1de319c7d61e0333471c82f2fc104
一般的なファイル名:SAntivirusService.exe
偽装名:SAService
検出名:Win.Dropper.Segurazo::tpd
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 8 月 6 日に Talos Group
Tags:
