脅威情報ニュースレター(2020 年 9 月 10 日)
Talos 読者の皆様、こんにちは。
Talos では選挙のセキュリティ対策を長期にわたって調査し続けていますが、その一環として開催された座談会のビデオを Talos の YouTube ページにアップロードしました。Q&A 形式で進められたこの座談会では、一般に「フェイクニュース」と呼ばれるデマ情報についての研究成果や、デマ情報の拡散を防ぐ方法について、研究者たちがさまざまな質問に答えています。
今週、Microsoft 社のセキュリティ更新プログラム(月例)が公開されました。Microsoft 社が発見した約 120 の脆弱性の概要については、こちらをご覧ください。また、Talos の研究者が Windows 10 Common Log File System で発見したバグの 1 つについて詳しくは、こちらをご覧ください。
1 週間のサイバーセキュリティ概況
- 細工された WhatsApp のメッセージによりアプリが完全にクラッシュし、ユーザのメッセージ履歴全体が削除される
被害が相次ぐ。これまでのところ、WhatsApp デスクトップ版での回避策しか発見されていません。 - Amazon、Apple、Google などのテクノロジー企業が、モノのインターネットデバイス(IoT)接続に関する新標準の策定に向けて協力を開始。Project Connected Home over IP ワーキンググループの発表によると、同グループが開発したオープンソース製品が来年中にはリリースされる予定とのことです。
- 新学期をリモート授業で迎えた教員と生徒たちは、新しい仮想クラスの利用方法とサイバー攻撃への対処方法を学ぶ必要に迫られる。フロリダ州マイアミはその代表例と言えます。市当局は域内の学校システムが 1 日で 12 回の攻撃を撃退したと発表しています。
- コネチカット州ハートフォード市、サイバー攻撃を受け新学期の開始を延期。市当局の発表によれば、学校教育に不可欠な 200 台のサーバが侵入されました。
- Adobe 社、Experience Manager、InDesign、Framemaker の各ソフトウェアで発見された複数の脆弱性を修正。最も深刻な 7 件の脆弱性がエクスプロイトされた場合、攻撃者はユーザの Web ブラウザで JavaScript を自由に実行できる可能性があります。
- 米国政府、サイバー攻撃から米国の衛星を守ることを目的とした新しいガイドラインを公表。強制力を持つ条項は含まれていませんが、このガイドラインにより宇宙や地上でシステム更新が促され、保護体制が強化されることが期待されています。
- 米国政府、最近のレポートでCOVID-19 ワクチン研究の保護を目的とした政府による大規模な取り組みを発表。この取り組みは「Operation Warp Speed」(米国民に対して、安全で有効なコロナワクチンの提供時期や数量を定めたプログラム)において「Security and Assurance」と呼ばれます。ワクチンの開発に携わる製薬会社に対してサイバーセキュリティのノウハウ、アドバイス、ソフトウェアを提供することを目標としています。
- チリの大手銀行、サイバー攻撃を受け今週すべての支店を閉鎖。現時点の報道では、従業員が開いた悪意のある Microsoft Office ドキュメントから攻撃が始まったようです。
- Amazon 社が自社の従業員を監視するために秘密組織を立ち上げたと一部で報道。具体的には、同社の運送ドライバーが利用する Facebook グループにスパイを潜入させようとしていたと報じられています。その目的はストライキや組合結成の動き探ることだったとされています。
最近の注目すべきセキュリティ問題
件名:Microsoft 社が月例セキュリティ更新プログラムのリリースに合わせ、120 件 を超える脆弱性を公表
説明:Microsoft 社は今週火曜日に、月例のセキュリティ更新プログラムを公表し、同社製品で確認された 120 件を超える脆弱性についての情報を公表しました。そのうち 23 件の脆弱性は「緊急」に分類され、残りの大部分は「重要」に分類されています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムでは、 Microsoft Office スイート製品、Windows Media Audio Decoder、Hyper-V 仮想マシンソフトウェアを含め、多岐にわたる製品が対象となっています。最も深刻な脆弱性の 1 つは、Microsoft COM に存在します。CVE-2020-0922 には、CVSS 重要度スコア 8.8(最高スコアは 10)が割り当てられています。攻撃者はこのバグをエクスプロイトして、特別に細工された JavaScript を含む、攻撃者が制御する Web ページをユーザが開いた後に、リモートでコードを実行できます。
Snort SID:55139 〜 55146、55161、55162、55187、55188、55206
件名:Salfram:名前を隠さないまま繰り返されるマルウェア配布攻撃
説明:Cisco Talos が先日発見した一連の電子メール攻撃は、一般的なファイル共有サービスに不正ドキュメントをアップロードし、それを介してマルウェアを拡散させています。攻撃により、Gozi ISFB、ZLoader、SmokeLoader、AveMaria など、さまざまなマルウェアペイロードが拡散されました。さらに、同じ暗号化ツールを使用してさまざまなマルウェアファミリを拡散しています。使われている暗号化ツールは効果的ですが、検出されやすいという欠点があります。「Salfram」という文字列値が存在するため、時間が経っても容易に追跡できるのです。「Salfram」を含む難読化されたバイナリは、バイナリの面でも実行フローグラフの面でもまったく異なります。暗号化ツールで使用されている手口は、API ベースの脆弱な検出システムや静的な分析ツールを混乱させる可能性があります。暗号化ツールの開発と強化には、長期にわたって労力が注がれているものと見られます。
Snort SID:54920、54921
今週最も多く見られたマルウェアファイル
SHA 256:7f9446709fbd77a21a806d17cf163ba00ce1a70f8b6af197990aa9924356fd36
MD5:adad179db8c67696ac24e9e11da2d075
一般的なファイル名: FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:W32.7F9446709F-100.SBX.VIOC
SHA 256:32155b070c7e1b9d6bdc021778c5129edfb9cf7e330b8f07bb140dedb5c9aae7
MD5:73d1de319c7d61e0333471c82f2fc104
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名: Win.Dropper.Segurazo::tpd
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5: 8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名: PUA.Win.Dropper.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 9 月 10 日に Talos Group
Tags:
