脅威情報ニュースレター（2020 年 8 月 27 日）

Talos 読者の皆様、こんにちは。

今週 Talos は、11 月の米大統領選に先立ち、選挙のセキュリティ対策に関する継続調査から現時点の調査レポートを公開しました。今回は、一般に「フェイクニュース」と呼ばれるデマ情報キャンペーンについて詳しく解説しています。

今回のレポートでは、最初のレポート『2020 年の米国総選挙に際して起こり得ること』の内容を踏襲したうえで、複雑なデマ攻撃を支えるインフラに焦点を当てています。

脆弱性に関しては、Microsoft Azure Sphere で見つかったいくつかの脆弱性に関する詳細なブログも公開しています。このブログは、Azure Sphere Security Research Challenge の一環として先月公開した調査結果に基づいています。

1 週間のサイバーセキュリティ概況

• 米連邦捜査官、米大統領選に関する正しい情報を提供しているかのように見せかけた偽の Web サイトを複数発見したと発表。これらのサイトは、公式の政治サイトに酷似したドメインに存在していたため、URL が本物のサイトと似通っていました。
• テレワーク期間の終わりが見えず、重要なデータやドキュメントの保護に苦心する企業の姿が浮き彫りに。従業員が機密情報を写真に撮ったり、詐欺の被害に遭ったりすることが多くの企業で懸念されています。
• 複数の米連邦捜査官、盗み出された VPN ログイン情報を利用した一連の新たな攻撃に対する警戒を呼びかけ。攻撃者は、ユーザが真に受けることを狙って、二要素認証アプリに偽のプッシュアラートを送信します。
• 北朝鮮政府の支援を受けた攻撃者が世界中で ATM 攻撃キャンペーンを展開。この攻撃では、ATM に対して特定のコードを実行することにより、ATM 内のすべての現金が引き出されます。
• 米国情報機関、郵便投票詐欺の証拠はこれまでのところ発見されていないと発表。コロナ禍の影響により、多くの有権者が家に留まることを選択すると考えられることから、一部の有力政治家は郵便投票の有効性に疑問を呈しています。
• 中国政府、中国本土で広く使用されているスパイ技術を香港でも密かに使用開始。中国政府は今年初め、従来よりも格段に強化された法執行議案を可決しました。その後、カメラやハッキングによる監視を一段と強めています。
• 米上院情報委員会、2016 年の選挙に関する最終報告書でトランプ大統領陣営の著名なキャンペーン担当者がロシアの諜報担当者に情報を漏洩したと報告。同報告書では、「防諜の脅威と脆弱性」に関する情報も漏洩したとされています。
• ニュージーランドの証券取引所が今週、サイバー攻撃を受けて操業を連日停止。現時点での各証拠は、分散型のサービス妨害攻撃であることを示しています。
• 米国企業の社員をリクルートして、勤務先のネットワークにマルウェアをインストールするよう持ちかけたとして、米国に渡航したロシア市民が拘束される。狙われた企業に関する詳細は、ネバダ州の企業であること以外には公表されていません。

最近の注目すべきセキュリティ問題

タイトル：Microsoft 社が Azure Sphere の脆弱性を修正するためのセキュリティ更新プログラムをリリース
説明：Cisco Talos は先日、Microsoft 社の Azure Sphere に複数の脆弱性を発見しました。Azure Sphere とは、IoT アプリケーションのセキュリティを念頭に置いて設計された、クラウド接続のカスタム SoC プラットフォームです。内部的に見ると、この SoC は異なる役割（種々のアプリケーションの実行、セキュリティの適用、暗号化の管理など）を持つ複数の ARM コアセットで構成されています。また、外部的に見ると、Azure Sphere プラットフォームは Microsoft 社の Azure Sphere クラウドが屋台骨となり、セキュリティプログラムの更新、アプリの導入、デバイスの整合性の定期的な検証（クラウドへのアクセスを許可するかどうかの判断）などが処理されます。Talos は Azure Sphere に 4 件の脆弱性を発見しました。そのうち 2 件は未署名コードの実行につながる可能性があり、残りの 2 件は特権昇格につながる可能性があります。
Snort SID：54645、54646、54729、54730

タイトル：クロスサイト スクリプティングのバグが多くの WordPress サイトで使用されているオープンソース CMS に影響
説明：TinyMCE は最近、新たに見つかった脆弱性がエクスプロイトされて、一部の Web サイトが攻撃者に完全に乗っ取られる可能性があることを公表しました。オープンソース コンテンツ管理システムとテキストエディタで見つかった重大度の高いクロスサイト スクリプティングの脆弱性はすでに修正されています。攻撃者は、影響を受ける Web サイトのフォーラムに特定の HTML コードを入力することでこの脆弱性をエクスプロイトし、Web サイトを制御する可能性があります。セキュリティ研究者たちは、何千ものサイトが影響を受ける可能性があると警告しています。
Snort SID：54815、54816

今週最も多く見られたマルウェアファイル

SHA 256：85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5：8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名：Eter.exe
偽装名：なし
検出名：Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名：Tempmf582901854.exe
偽装名：なし
検出名：Win.Dropper.Agentwdcr :: 1201

SHA 256：7f9446709fbd77a21a806d17cf163ba00ce1a70f8b6af197990aa9924356fd36
MD5: adad179db8c67696ac24e9e11da2d075
一般的なファイル名：FlashHelperServices.exe
偽装名：Flash Helper Service
検出名：W32.7F9446709F-100.SBX.VIOC

SHA 256：15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5：799b30f47060ca05d80ece53866e01cc
一般的なファイル名： mf2016341595.exe
偽装名：なし
検出名：Win.Downloader.Generic::1201

SHA 256：3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5：47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名：qmreportupload.exe
偽装名：qmreportupload
検出名：Win.Trojan.Generic::in10.talos

最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら（またはお使いのポッドキャストアプリ）から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

本稿は 2020 年 8 月 27 日に Talos Group のブログに投稿された「Threat Source newsletter for Aug. 27, 2020」の抄訳です。