Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / 脅威情報ニュースレター(2020 年 9 月 17 日)

2020年9月30日 Leave a Comment
脅威リサーチ

脅威情報ニュースレター(2020 年 9 月 17 日)

1 min read



Talos 読者の皆様、こんにちは。

今週、Talos は皆様に注意を呼びかけたい脆弱性を数件発見しました。月曜日には、Google Chrome の PDFium 機能で発見したバグを公開しました。攻撃者はこのバグをエクスプロイトすることでリモートコードを実行できる可能性があります。

また、Nitro Pro PDF Reader でも複数の脆弱性を発見しました。これらの脆弱性が攻撃者によってエクスプロイトされると、最終的に被害者のマシン上で任意コードを実行される危険性があります。

今後予定されている公開イベント

イベント:Attribution: A puzzle(アトリビューション:犯人特定の複雑なパズル)popup_icon
会場:バーチャル VirusBulletin 会議 2020
開催日:9 月 30 日
講演者:Paul Rascagneres、Vitor Ventura
骨子:サイバー攻撃の犯人を特定することを一般に「アトリビューション」と呼びますが、その作業は困難を極めます。アトリビューションでは、さまざまなインテリジェンスを収集して分析し、誰が真犯人かを突き止める必要があります。民間組織でも入手可能な証拠を調査し、脅威インテリジェンス/セキュリティ研究グループとしてこれらの結論を裏付けるのは有意義なことです。このプレゼンテーションでは、WellMess のアトリビューションに関する Talos の研究成果を発表します。また、OlympicDestroyer や ACIDBox などの事例も取り上げ、虚偽のフラグやコードの共有といった、アトリビューションのプロセスに関係するその他の要素についても説明します。

イベント:A double-edged sword: The threat of dual-use tools(諸刃の剣:デュアルユースツールの脅威)
会場:Cisco Webex ウェビナー
開催日:10 月 8 日 午前 11 時(ET)
講演者:Edmund Brumaghin
骨子:最近では、情報セキュリティニュースを読むたびに、決まって大企業がサイバー犯罪者による脅迫の被害に遭ったというニュースが目に入ります。こうした脅威の状況から、リスクを特定してインフラの脆弱性を軽減するために多くの企業がレッドチームへの依存度をますます高めつつあります。そのための効果的なツールも業界全体で開発と強化が急ピッチで進んでいます。

本来、デュアルユースツールは、システム管理に加え、セキュリティテストやレッドチーミング活動の支援を目的として開発された管理者向けのツールです。しかし残念なことに、これらのツールの多くが、システム侵害や組織ネットワークへの攻撃、あるいは世界中の企業活動の妨害を目論む攻撃者にもしばしば利用されています。このウェビナーでは、デュアルユースツールと、それらのツールが歴史的にさまざまな攻撃でどのように使用されてきたかについて説明します。また、攻撃ライフサイクルのさまざまな段階で検出を免れるために、システム固有の機能やデュアルユースツールが実際の攻撃おいてどのように使用されることが多いのかについても、事例を挙げて説明します。さらに、正当なテクノロジーやツールセットが悪用されるのを防ぐ方法についても説明します。

1 週間のサイバーセキュリティ概況

  • 米国連邦通信委員会、iPhone のロックを解除するために法的執行機関が使用することもある悪名高いツール GrayKey を公表popup_icon。このデバイスの写真が開示されるのは極めて異例のことです。
  • インターネット投票会社が最近最高裁に提出popup_iconした弁論趣意書に対して、著名なセキュリティ研究者のグループが反論。米国最高裁判所では、セキュリティ研究者による脆弱性発見方法の全面的な見直しを迫る訴訟が審理されています。
  • 2020 年米大統領選でバイデン/ハリス陣営が配布している公式アプリのバグpopup_iconにより、何百万人もの有権者の情報が誰でも検索可能に。このアプリと政治マーケティングサービス TargetSmart の連携方法に脆弱性が存在していました。
  • 米国で人気のソーシャルメディアアプリ TikTok を巡る騒動popup_iconは依然終息を見せず。トランプ政権の攻勢を緩和するため、大手テクノロジー企業の Oracle 社が TikTok と提携する計画が浮上しましたが、共和党議員から激しい非難を浴びています。
  • Microsoft 社、国家的支援を受けたハッカー集団がバイデン陣営、トランプ陣営双方の選挙活動をサイバー攻撃の標的にしているpopup_iconと発表。候補者本人や選挙スタッフ、外部の選挙コンサルタントが攻撃の標的になっているとのことです。
  • Apple 社、今週木曜日に iOS 14 のリリースを予定。これに対しシスコは、MAC アドレスをランダム化する新しいプライバシー機能popup_iconが原因で、一部のネットワークで問題が生じる可能性があると警告しています。
  • 米国司法省、複数のソフトウェアメーカーや人気オンラインゲームに対する一連のサイバー攻撃に関与した疑いで中国人 7 人を正式に起訴popup_icon。起訴状によると、被告の 7 人は、マネーロンダリング、個人情報の窃取、電信詐欺、アクセスデバイス詐欺を目的としてこれらのサービスに侵入したとのことです。
  • Maze ランサムウェア、Ragnar Locker から採用されたと思われる新しい仮想マシン技術popup_iconを導入。VirtualBox ソフトウェア用の悪意のある .msi ファイルがこのランサムウェアによって配信されていることを複数のセキュリティ研究者が発見しました。
  • Microsoft SQL Server への感染popup_iconを通じ、新しい暗号通貨マイニングマルウェアが拡散。Monero マイナーの Linux、ARM、Microsoft 版亜種が複数の研究者により発見されました。

最近の注目すべきセキュリティ問題

件名:米国政府、既知の脆弱性のエクスプロイトを警告popup_icon
説明:米国サイバーセキュリティ インフラストラクチャ セキュリティ庁が今週出した警告によれば、過去 1 年間に公表された脆弱性の一部は、国家的支援を受けたハッカー集団が標的にしています。標的には Pulse および Citrix VPN サービスの脆弱性も含まれています。これらの脆弱性がエクスプロイトされると、ディレクトリトラバーサル攻撃を実行されたり、VPN を介してネットワークに侵入されたりする危険性があります。また、国家的支援を受けたハッカー集団がスピアフィッシング キャンペーンを通じて複数のマルウェアファミリを拡散している事実も公表されています。当局は、公共部門か民間部門かを問わず、すべてのユーザに対して該当製品(F5 BIG-IP、Pulse Secure VPN、Citrix VPN、Microsoft Exchange server など)の更新を速やかに行うよう呼びかけています。
Snort SID55637 〜 55640

件名:Google Chrome PDFium のメモリ破損に起因する、任意コード実行の脆弱性
説明:Google Chrome の PDFium 機能でメモリ破損の脆弱性が発見されました。この脆弱性がエクスプロイトされると、攻撃者によりリモートで任意コードを実行される危険性があります。PDFium を使用すると、Chrome 内で PDF を開くことができます。攻撃者は脆弱性をエクスプロイトし、悪意のある Web ページをユーザに開かせることで、境界外メモリアクセスを誘発できる可能性があります。この脆弱性は、ユーザが悪意のある Web ページにアクセスするか、悪意のある PDF ドキュメントを開かない限りトリガーされません。
Snort SID54282、54283

今週最も多く見られたマルウェアファイル

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 25632155b070c7e1b9d6bdc021778c5129edfb9cf7e330b8f07bb140dedb5c9aae7popup_icon
MD573d1de319c7d61e0333471c82f2fc104
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名: Win.Dropper.Segurazo::tpd

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201

SHA 2567bd78114e61ae332e9e9d67b66cdab4a4db4e0c74dc43a0582ab1aecb13d7f0fpopup_icon
MD56423f6d49466f739d4eaa2a30759c46a
一般的なファイル名:Xerox_Device_060214.exe
偽装名:なし
検出名:Win.Dropper.Upatre::1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2020 年 9 月 17 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for Sept. 17, 2020popup_icon」の抄訳です。

 

Authors

Avatar

TALOS Japan

コメントを書く