Cisco Japan Blog

脅威情報ニュースレター(2020 年 9 月 3 日)

1 min read



Talos 読者の皆様、こんにちは。

Cisco Talos が先日発見した一連の電子メール攻撃は、一般的なファイル共有サービスに不正ドキュメントをアップロードし、それを介してマルウェアを拡散させています。この攻撃により、Gozi ISFB、ZLoader、SmokeLoader、AveMaria など、さまざまなマルウェアペイロードが拡散されました。脅威の詳細と Talos の対策については、こちらをご覧ください。

また、Talos の新しい電子メールステータスポータルがいよいよ公開されました。このポータルでは、お客様から Cisco Talos 宛てにサンプルとしてお送りいただいたハムやスパムを確認できます。

最後に、『Beers with Talos』の新エピソードpopup_iconも公開されています。今回のテーマは FUD です。

1 週間のサイバーセキュリティ概況

  • テスラ社 CEO の Elon Musk 氏、企業ネットワークへのマルウェア工作でテスラ社popup_iconが標的になっていたことを発表。観光客を装ったロシア人が先週、テスラ社の従業員をリクルートしてハッキングさせた疑いで逮捕されました。
  • 一部の州では、車両管理局がドライバー情報を過剰に提供している疑いが報道される。数名の私立探偵が Vice 社の Motherboard 誌に寄せた情報によると、米国の一部の州では、一般にあまり知られていない政策の下でドライバー情報を簡単に購入popup_iconできるとのことです。
  • ノルウェー議会、サイバー攻撃の被害を受けたpopup_iconことを発表。一部の政府関係者の電子メールが漏洩したことが確認されていますが、ノルウェー政府は引き続き被害の全容を調査しています。
  • ソーシャルメディア大手の Facebook 社、偽情報を拡散しようとしたロシアの攻撃者に関係するグループのアカウントを大量に閉鎖。同社によれば、米国の諜報機関との協力関係のおかげで、早い段階からこれらのグループの動向を把握しているとのことです。
  • COVID-19 の接触者追跡アラートを公式実装するpopup_icon iOS および Android の新機能が配布開始。この機能は Bluetooth を使用して濃厚接触を追跡するものです。ユーザが手動で有効にする必要があります。
  • ニュージーランド政府、国内の民間企業に対してサイバー攻撃の波に備えるようpopup_icon警告。この警告に先立ち、同国の証券取引所では、最近 2 週間で 5 回目となるサイバー攻撃が発生していました。
  • シスコ、一部のキャリアグレードルータで発見された 2 件の重大な脆弱性popup_iconを公開。シスコによると、ハッカーはこのバグを現在頻繁にエクスプロイトしていて、サービスが完全に停止する危険性もあるとのことです。
  • 米国の選挙セキュリティを統括する情報当局高官、議会への定期的な説明会は今後行わないpopup_iconと表明。国家情報長官は説明会に代わって今後はある程度定期的に書面による声明を発表するとしていますが、民主党は不適切だと批判しています。
  • 有名な Evilnum 攻撃の首謀者、主要なペイロードの一部として Python スクリプトを使用したトロイの木馬popup_iconを新たに採用。新しい「PyVil RAT」は、情報とキーログを窃取した後、ログイン情報を窃取するために別のツールを展開します。

最近の注目すべきセキュリティ問題

件名:ランサムウェアファミリ LockBit、Maze により、ランサムウェアが脅威の大部分を占めいていることが明らかにpopup_icon
説明:Cisco Talos Incident Response(CTIR)の新しい報告書によると、この四半期に最も猛威を振るった脅威はランサムウェアであることが確認されました。感染には、LockBit、Maze などの多様なマルウェアファミリが使われています。今四半期に発生したランサムウェア攻撃の 66% がレッドチーミング フレームワーク Cobalt Strike に関与していることから、ランサムウェアの攻撃者らは商用化されたトロイの木馬の利用を断念し、Cobalt Strike への依存度を高めていることが伺えます。CTIR のレポートによると、ランサムウェアによるデータ漏洩の被害は増え続けていいます。最近では Maze をはじめとするランサムウェア「同盟」が新たに形成されつつあることも確認されています。
Snort SID54910 〜 54917(LockBit ランサムウェアからの保護)

件名:Emotet が Word 形式の新しいルアー(囮)ドキュメントを使用開始popup_icon
説明:Emotet ボットネットは進化し続けており、今や Microsoft Word テンプレートを使用してマルウェアを拡散しています。「Red Dawn」と呼ばれるこの新しい感染方法では、ユーザに Word ファイルをダウンロードさせた後、ドキュメントを読み取るためにマクロを有効化するよう促します。マクロを有効にすると、Emotet が被害者のマシンにダウンロードされます。Emotet のスパムメールは、コロナ情報や財務ドキュメント、発送通知などを装ってユーザを誘導しようとします。
Snort SID5490054901

今週最も多く見られたマルウェアファイル

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr :: 1201

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon
MD5 8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名 mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201

SHA 2567f9446709fbd77a21a806d17cf163ba00ce1a70f8b6af197990aa9924356fd36popup_icon
MD5adad179db8c67696ac24e9e11da2d075
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:W32.7F9446709F-100.SBX.VIOC

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 9 月 3 日に Talos Grouppopup_icon のブログに投稿された「https://blog.talosintelligence.com/2020/09/threat-source-newsletter-for-sept-3-2020.htmlpopup_icon」の抄訳です。

 

コメントを書く