Talos 読者の皆様、こんにちは。
Cisco Talos が先日発見した一連の電子メール攻撃は、一般的なファイル共有サービスに不正ドキュメントをアップロードし、それを介してマルウェアを拡散させています。この攻撃により、Gozi ISFB、ZLoader、SmokeLoader、AveMaria など、さまざまなマルウェアペイロードが拡散されました。脅威の詳細と Talos の対策については、こちらをご覧ください。
また、Talos の新しい電子メールステータスポータルがいよいよ公開されました。このポータルでは、お客様から Cisco Talos 宛てにサンプルとしてお送りいただいたハムやスパムを確認できます。
最後に、『Beers with Talos』の新エピソードも公開されています。今回のテーマは FUD です。
1 週間のサイバーセキュリティ概況
- テスラ社 CEO の Elon Musk 氏、企業ネットワークへのマルウェア工作でテスラ社が標的になっていたことを発表。観光客を装ったロシア人が先週、テスラ社の従業員をリクルートしてハッキングさせた疑いで逮捕されました。
- 一部の州では、車両管理局がドライバー情報を過剰に提供している疑いが報道される。数名の私立探偵が Vice 社の Motherboard 誌に寄せた情報によると、米国の一部の州では、一般にあまり知られていない政策の下でドライバー情報を簡単に購入できるとのことです。
- ノルウェー議会、サイバー攻撃の被害を受けたことを発表。一部の政府関係者の電子メールが漏洩したことが確認されていますが、ノルウェー政府は引き続き被害の全容を調査しています。
- ソーシャルメディア大手の Facebook 社、偽情報を拡散しようとしたロシアの攻撃者に関係するグループのアカウントを大量に閉鎖。同社によれば、米国の諜報機関との協力関係のおかげで、早い段階からこれらのグループの動向を把握しているとのことです。
- COVID-19 の接触者追跡アラートを公式実装する iOS および Android の新機能が配布開始。この機能は Bluetooth を使用して濃厚接触を追跡するものです。ユーザが手動で有効にする必要があります。
- ニュージーランド政府、国内の民間企業に対してサイバー攻撃の波に備えるよう警告。この警告に先立ち、同国の証券取引所では、最近 2 週間で 5 回目となるサイバー攻撃が発生していました。
- シスコ、一部のキャリアグレードルータで発見された 2 件の重大な脆弱性を公開。シスコによると、ハッカーはこのバグを現在頻繁にエクスプロイトしていて、サービスが完全に停止する危険性もあるとのことです。
- 米国の選挙セキュリティを統括する情報当局高官、議会への定期的な説明会は今後行わないと表明。国家情報長官は説明会に代わって今後はある程度定期的に書面による声明を発表するとしていますが、民主党は不適切だと批判しています。
- 有名な Evilnum 攻撃の首謀者、主要なペイロードの一部として Python スクリプトを使用したトロイの木馬を新たに採用。新しい「PyVil RAT」は、情報とキーログを窃取した後、ログイン情報を窃取するために別のツールを展開します。
最近の注目すべきセキュリティ問題
件名:ランサムウェアファミリ LockBit、Maze により、ランサムウェアが脅威の大部分を占めいていることが明らかに
説明:Cisco Talos Incident Response(CTIR)の新しい報告書によると、この四半期に最も猛威を振るった脅威はランサムウェアであることが確認されました。感染には、LockBit、Maze などの多様なマルウェアファミリが使われています。今四半期に発生したランサムウェア攻撃の 66% がレッドチーミング フレームワーク Cobalt Strike に関与していることから、ランサムウェアの攻撃者らは商用化されたトロイの木馬の利用を断念し、Cobalt Strike への依存度を高めていることが伺えます。CTIR のレポートによると、ランサムウェアによるデータ漏洩の被害は増え続けていいます。最近では Maze をはじめとするランサムウェア「同盟」が新たに形成されつつあることも確認されています。
Snort SID:54910 〜 54917(LockBit ランサムウェアからの保護)
件名:Emotet が Word 形式の新しいルアー(囮)ドキュメントを使用開始
説明:Emotet ボットネットは進化し続けており、今や Microsoft Word テンプレートを使用してマルウェアを拡散しています。「Red Dawn」と呼ばれるこの新しい感染方法では、ユーザに Word ファイルをダウンロードさせた後、ドキュメントを読み取るためにマクロを有効化するよう促します。マクロを有効にすると、Emotet が被害者のマシンにダウンロードされます。Emotet のスパムメールは、コロナ情報や財務ドキュメント、発送通知などを装ってユーザを誘導しようとします。
Snort SID:54900、54901
今週最も多く見られたマルウェアファイル
SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名: Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr :: 1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5: 8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名 mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
SHA 256:7f9446709fbd77a21a806d17cf163ba00ce1a70f8b6af197990aa9924356fd36
MD5:adad179db8c67696ac24e9e11da2d075
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:W32.7F9446709F-100.SBX.VIOC
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 9 月 3 日に Talos Group のブログに投稿された「https://blog.talosintelligence.com/2020/09/threat-source-newsletter-for-sept-3-2020.html」の抄訳です。