Talos 読者の皆様、こんにちは。
ランサムウェア攻撃が引き続き世間の注目を集めていますが、暗号通貨の不正なマイナー(採掘者)たちは依然として水面下で暗躍していて、無防備な人々がコンピュータの処理能力を奪われる被害に遭っています。今週は Monero のマイニングを目論む新たなボットネット「Prometei」について解説しました。「Prometei」の文献は業界で初めてと思われます。Prometei への警戒が必要な理由と、Prometei の感染がより大きな問題に発展しかねない理由については、こちらの記事をご覧ください。
先週の調査報告書でご紹介した選挙のセキュリティ対策に関するニュースが不十分と感じられた方は、『Beers with Talos(Talos とビールを)』の最新エピソードをご覧ください。このトピックについてさらに深く掘り下げています。
1 週間のサイバーセキュリティ概況
- 先週 Twitter で発生した大規模ハッキング事件について新事実が判明。今回の事件では複数の著名アカウントが乗っ取られ、ビットコイン詐欺に使用されていました。New York Times 紙が最近報じたところによると、ハッキングを仕掛けたのは若者のグループであり、国家の支援を受けたハッカー集団とは無関係であるようです。
- Twitter 社、不正侵入に対して新たな対策を講じたと発表。また、ハッキング被害を受けたアカウントのうち 36 アカウントの非公開ダイレクトメッセージにハッカーがアクセスしていたことを新たに認めました。これにより、ハッキング被害者が将来恐喝される可能性が浮上してきています。
- 今回の事件により、人間がセキュリティ上の最大の弱点になり得ることが露呈。ソーシャルメディア上で無防備に個人情報を公開していて、ソーシャルエンジニアリング攻撃に利用されかねない従業員や、適切なトレーニングを受けておらずフィッシングメールを見分けられない従業員もいます。
- イスラエル政府、公共水道システムに対する新たなサイバー攻撃を阻止したと発表。イスラエルの水道インフラに対しては、4 月にもイラン政府の支援を受けたハッカー集団による攻撃がありました。今回の 6 月の攻撃は、それとは別の攻撃です。
- 英国政府、国内での選挙に対する外国の干渉を防ぐための対策が不十分だったとする報告書を公表。英国情報安全保障委員会は、ロシアの攻撃者が英国最大の脅威であると記したうえで、英国は「巻き返しを図るべく取り組んでいる」と述べています。
- トランプ政権、人気のソーシャル メディア アプリケーション TikTok を禁止するかどうかについて引き続き検討中。米国政府は中国のテクノロジー企業各社と全面的に争っているところですが、TikTok を取り巻く問題は「白黒をはっきりつけられるようなものではない」とセキュリティ専門家は指摘しています。
- ニューヨーク州、住宅ローン保険会社 First American Financial Corp. に対し、昨年発生した大規模データ漏洩事件に関連して正式に罰金を課す計画を発表。執行されれば、州の新たな規制に基づいて課されるこの種の罰金の初事例となる見込みです。
- LokiBot のスピンオフと見られる新しい Android マルウェアが登場。新種はデバイスからバックグラウンドでユーザの情報を盗み出そうとします。トロイの木馬「BlackRock」は、Netflix や Tinder など、世界中で人気の高いアプリケーションを狙っています。
最近の注目すべきセキュリティ問題
タイトル:攻撃者が新しいユーザアカウントを作成して任意コードを実行できる可能性がある脆弱性が SAP システムで新たに発見
説明:先週、米国国土安全保障省(DHS)サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は SAP システム管理者に対し、可能な限り速やかにシステムを更新して重大な脆弱性を修正するよう促す警告を発表しました。CVE-2020-6287 は、SAP NetWeaver アプリケーションサーバ の Java コンポーネント LM Configuration Wizard に影響します。攻撃者はこのバグを悪用して SAP システムに無制限にアクセスし、独自のユーザアカウントを作成して任意のシステムコマンドを実行する可能性があります。
Snort SID:54571-54574
タイトル:シスコ製スモールビジネス向けルータおよびファイアウォールで発見された 33 件の脆弱性を公開・修正
説明:今月初め、シスコは RV シリーズのルータおよびファイアウォールで発見された 33 件の脆弱性を公開しました。これらの製品は、主にスモールビジネス環境向けに出荷されています。今回発見されたバグの 1 つ CVE-2020-3330 は、デバイスにプリインストールされているデフォルトの admin アカウントのログイン情報をユーザがリセットしていない場合、攻撃者によりデバイスが完全に乗っ取られる可能性があるというものです。そのほか、Prime License Manager には権限昇格につながる重大な脆弱性があります。
参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv110w-static-cred-BMTWBWTy
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-AQKREqp
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-code-exec-wH3BNFb
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-prime-priv-esc-HyhwdzBA
Snort SID:54538 – 54567
今週最も多く見られたマルウェアファイル
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:449f4a4524c06e798193c1d3ba21c2d9338936375227277898c583780392d4d8
MD5:179c09b866c9063254083216b55693e6
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
SHA 256:: 094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5:a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAntivirusService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 7 月 23 日に Talos Group のブログに投稿された「 Threat Source newsletter for July 23, 2020」の抄訳です。