Talos 読者の皆様、こんにちは。
Talos はこれまで、デマ情報(つまり「フェイクニュース」)の実態や、その背後にいる人物をブログでご紹介してきました。今週は、デマ情報が効果的である理由と、それが人々の間で簡単に広まっていく理由をこちらのレポートで解説しています。ソーシャルメディアの心理学についての詳しい情報をご覧ください。
マルウェアに関しては、LodaRAT の最新情報を公開しました。Talos では最近、LodaRAT の新しい亜種を複数確認しています。注意すべき点とネットワークを保護する方法について、こちらの記事をご覧ください。
今後予定されている公開イベント
イベント:A double-edged sword: The threat of dual-use tools(諸刃の剣:デュアルユースツールの脅威)
会場:Cisco Webex ウェビナー
開催日10 月 8 日 午前 11 時(ET)
講演者:Edmund Brumaghin
骨子:最近では、情報セキュリティニュースを読むたびに、決まって大企業がサイバー犯罪者による脅迫の被害に遭ったというニュースが目に入ります。こうした脅威の状況から、リスクを特定してインフラの脆弱性を軽減するために多くの企業がレッドチームへの依存度をますます高めつつあります。そのための効果的なツールも業界全体で開発と強化が急ピッチで進んでいます。
本来、デュアルユースツールは、システム管理に加え、セキュリティテストやレッドチーミング活動の支援を目的として開発された管理者向けのツールです。しかし残念なことに、これらのツールの多くが、システム侵害や組織ネットワークへの攻撃、あるいは世界中の企業活動の妨害を目論む攻撃者にもしばしば利用されています。このウェビナーでは、デュアルユースツールと、それらのツールが歴史的にさまざまな攻撃でどのように使用されてきたかについて説明します。また、攻撃ライフサイクルのさまざまな段階で検出を免れるために、システム固有の機能やデュアルユースツールが実際の攻撃おいてどのように使用されることが多いのかについても、事例を挙げて説明します。さらに、正当なテクノロジーやツールセットが悪用されるのを防ぐ方法についても説明します。
イベント:クラウドに接続された ICS デバイスでのバグ追跡:クラウドからの root の取得
場所:CS3STHLM Virtual
開催日:10 月 22 日
講演者:Kelly Leaschner
骨子:クラウド接続型デバイスが急増しているため、その攻撃対象領域について、ソケットベースの従来型サーバアプリケーションとどのように異なるのかを理解することは極めて重要です。クラウドに接続されたアプリケーションをリッスンするオープンポートはないため、攻撃者によって制御されているデータをアプリケーションに忍びこませるには、追加工作が必要です。この講演では、アプリケーションの脆弱性調査を開始するために必要な最初の手順について説明します。物理デバイスをクラウドで制御する方式には、従来のソケットプログラミングと比べてセキュリティ上の利点がいくつかありますが、クラウドメッセージを処理するソフトウェアにもバグや脆弱性が存在します。講演ではこの点についても触れます。また、クラウドに接続されたアプリケーションの脆弱性を調査するための方法がどのように変化してきたかについても説明します。さらに、産業ベンダーのクラウドアプリケーションになりすまして root 権限を取得することにより講演者の Kelly が自ら発見した脆弱性も実際にお見せします。
1 週間のサイバーセキュリティ概況
- 英国軍少将、英国が本格的なサイバー戦争遂行能力を保有していることを公言。英国軍戦略指揮官を務める同少将は、サイバー戦争時に重要ライフラインの「機能低下、麻痺、破壊」を行えるサイバー兵器を英国が保有していることを認めました。
- Google 社、Joker (別名 Bread)マルウェアを拡散させていた 17 種類のアプリを Play ストアから削除 。このマルウェアがデバイスにインストールされると、ユーザの情報が盗み出され、知らないうちにワイヤレスサービスに登録されて、月額料金が課金されます。
- 米国の大手病院チェーン、今週サイバー攻撃を受けた可能性があるとして営業を一時停止。Universal Health Services 社によれば、攻撃者が患者や従業員のデータにアクセスした形跡はないとのことですが、業務を再開するためアナログ手段の利用を余儀なくされています。
- Twitter 社、130 を超えるアカウントを閉鎖。同社によると、閉鎖されたアカウントは、米国大統領選の妨害を目論むイラン政府の支援を受けた攻撃者が保有していました。それらのアカウントについて最初に警告を発したのは FBI だったとの報道もあります。
- 悪名高いサイバー犯罪者グループ APT28、米連邦政府機関への侵入に関与した疑い。先週、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁はこの攻撃に関する警告を発しましたが、被害を受けた機関や犯人は明かしませんでした。
- Microsoft 社、攻撃者の戦術が巧妙化している実態を新しいレポートで発表。同社によれば、特に活発なのはロシア政府の支援を受けたハッカー集団です。コロナ禍の影響でテレワークに移行する人が増えるにつれて攻撃が増加していることも指摘しています。
- シスコ、DevOps セキュリティ プラットフォームの拡張に向けてコンテナ管理企業 PortShift 社を買収。イスラエルの新興企業 PortShift 社は、Kubernetes ネイティブのセキュリティ プラットフォームを開発していることで知られています。
- 米国当局、複数の NFL 選手や NBA 選手のソーシャルメディア アカウントをハッキングした疑いで 2 人を起訴。このハッキング事件では、被害者のヌード写真が本人のアカウント上で流出しました。
- FBI と CISA、分散型サービス拒否攻撃は 11 月 の選挙を脅かすものではないと公言。選挙結果の公表サイトが攻撃で低下する可能性はあるものの、実際の投票には影響を与えないとの見通しを示しています。
最近の注目すべきセキュリティ問題
件名:Zerologon の脆弱性を悪用する攻撃者が増加
説明:Cisco Talos は、Microsoft 社製品の脆弱性(CVE-2020-1472)に対する攻撃が急増していることを確認しています。この脆弱性は Netlogon における権限昇格の不具合であり、8 月の Microsoft セキュリティ更新プログラムで概要が公開されました。この脆弱性は Netlogon Remote Protocol で使用される暗号化認証方式の不備に起因しています。特に特定の Netlogon 機能の認証トークンを偽造してコンピュータのパスワードを更新するために使用される危険性があります。攻撃者はこの不備を利用してドメインコントローラ自体を含む任意のコンピュータに偽装し、ドメイン管理者のクレデンシャルにアクセスすることができます。
Snort SID:55703、55704
件名:シスコが IOS オペレーティングシステムの脆弱性に関する警告を発表
説明:シスコは最近、IOS オペレーティングシステムで見つかった複数の脆弱性を修正しました。その多くは重大な脆弱性に分類されています。今回の更新は、多くのシスコ製品に影響を与えるサービス妨害攻撃、ファイル上書き攻撃、入力検証攻撃に対処するものです。今回修正された脆弱性のうち 2 つ(CVE-2020-3421 および CVE-2020-3480)は、シスコのゾーンベース ファイアウォールに存在します。攻撃者はこれらのバグをエクスプロイトして、影響を受けるデバイスをリロードさせたり、ファイアウォールを通過するトラフィックの転送を停止させたりする可能性があります。
Snort SID:55815 〜 55819、55830 〜 55832
今週最も多く見られたマルウェアファイル
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:be29d4902d72abbc293376b42005d954807b3e6794b13fe628faff9bc94f6063
MD5:29f47c2f15d6421bdd813be27a2e3b25
一般的なファイル名:FlashHelperServices.exe
偽装名:なし
検出名:Flash Helper Service
SHA 256:1eef72aa566ba6c76b33f9d430d7233e358392382bfb3db81ca4f28d74f415a5
MD5:01a607b4d69c549629e6f0dfd3983956
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:W32.Auto:1eef72aa56.in03.Talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr :: 1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 10 月 1 日に Talos Group のブログに投稿された「Threat Source newsletter for Oct. 1, 2020」の抄訳です。