Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2020 年 10 月 1 日)


2020年10月9日

Talos 読者の皆様、こんにちは。

Talos はこれまで、デマ情報(つまり「フェイクニュース」)の実態や、その背後にいる人物をブログでご紹介してきました。今週は、デマ情報が効果的である理由と、それが人々の間で簡単に広まっていく理由をこちらのレポートで解説しています。ソーシャルメディアの心理学についての詳しい情報をご覧ください。

マルウェアに関しては、LodaRAT の最新情報を公開しました。Talos では最近、LodaRAT の新しい亜種を複数確認しています。注意すべき点とネットワークを保護する方法について、こちらの記事をご覧ください。

今後予定されている公開イベント

イベント:A double-edged sword: The threat of dual-use tools(諸刃の剣:デュアルユースツールの脅威)popup_icon
会場:Cisco Webex ウェビナー
開催日10 月 8 日 午前 11 時(ET)
講演者:Edmund Brumaghin
骨子:最近では、情報セキュリティニュースを読むたびに、決まって大企業がサイバー犯罪者による脅迫の被害に遭ったというニュースが目に入ります。こうした脅威の状況から、リスクを特定してインフラの脆弱性を軽減するために多くの企業がレッドチームへの依存度をますます高めつつあります。そのための効果的なツールも業界全体で開発と強化が急ピッチで進んでいます。

本来、デュアルユースツールは、システム管理に加え、セキュリティテストやレッドチーミング活動の支援を目的として開発された管理者向けのツールです。しかし残念なことに、これらのツールの多くが、システム侵害や組織ネットワークへの攻撃、あるいは世界中の企業活動の妨害を目論む攻撃者にもしばしば利用されています。このウェビナーでは、デュアルユースツールと、それらのツールが歴史的にさまざまな攻撃でどのように使用されてきたかについて説明します。また、攻撃ライフサイクルのさまざまな段階で検出を免れるために、システム固有の機能やデュアルユースツールが実際の攻撃おいてどのように使用されることが多いのかについても、事例を挙げて説明します。さらに、正当なテクノロジーやツールセットが悪用されるのを防ぐ方法についても説明します。

イベント:クラウドに接続された ICS デバイスでのバグ追跡:クラウドからの root の取得popup_icon
場所:CS3STHLM Virtual
開催日:10 月 22 日
講演者:Kelly Leaschner
骨子:クラウド接続型デバイスが急増しているため、その攻撃対象領域について、ソケットベースの従来型サーバアプリケーションとどのように異なるのかを理解することは極めて重要です。クラウドに接続されたアプリケーションをリッスンするオープンポートはないため、攻撃者によって制御されているデータをアプリケーションに忍びこませるには、追加工作が必要です。この講演では、アプリケーションの脆弱性調査を開始するために必要な最初の手順について説明します。物理デバイスをクラウドで制御する方式には、従来のソケットプログラミングと比べてセキュリティ上の利点がいくつかありますが、クラウドメッセージを処理するソフトウェアにもバグや脆弱性が存在します。講演ではこの点についても触れます。また、クラウドに接続されたアプリケーションの脆弱性を調査するための方法がどのように変化してきたかについても説明します。さらに、産業ベンダーのクラウドアプリケーションになりすまして root 権限を取得することにより講演者の Kelly が自ら発見した脆弱性も実際にお見せします。

1 週間のサイバーセキュリティ概況

  • 英国軍少将、英国が本格的なサイバー戦争遂行能力popup_iconを保有していることを公言。英国軍戦略指揮官を務める同少将は、サイバー戦争時に重要ライフラインの「機能低下、麻痺、破壊」を行えるサイバー兵器を英国が保有していることを認めました。
  • Google 社、Joker (別名 Bread)マルウェアを拡散させていた 17 種類のアプリを Play ストアから削除popup_icon 。このマルウェアがデバイスにインストールされると、ユーザの情報が盗み出され、知らないうちにワイヤレスサービスに登録されて、月額料金が課金されます。
  • 米国の大手病院チェーン、今週サイバー攻撃を受けた可能性があるとして営業を一時停止popup_icon。Universal Health Services 社によれば、攻撃者が患者や従業員のデータにアクセスした形跡はないとのことですが、業務を再開するためアナログ手段の利用を余儀なくされています。
  • Twitter 社、130 を超えるアカウントを閉鎖popup_icon。同社によると、閉鎖されたアカウントは、米国大統領選の妨害を目論むイラン政府の支援を受けた攻撃者が保有していました。それらのアカウントについて最初に警告を発したのは FBI だったとの報道もあります。
  • 悪名高いサイバー犯罪者グループ APT28popup_icon、米連邦政府機関への侵入に関与した疑い。先週、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁はこの攻撃に関する警告を発しましたが、被害を受けた機関や犯人は明かしませんでした。
  • Microsoft 社、攻撃者の戦術が巧妙化している実態をpopup_icon新しいレポートで発表。同社によれば、特に活発なのはロシア政府の支援を受けたハッカー集団です。コロナ禍の影響でテレワークに移行する人が増えるにつれて攻撃が増加していることも指摘しています。
  • シスコ、DevOps セキュリティ プラットフォームの拡張に向けてコンテナ管理企業 PortShift 社を買収popup_icon。イスラエルの新興企業 PortShift 社は、Kubernetes ネイティブのセキュリティ プラットフォームを開発していることで知られています。
  • 米国当局、複数の NFL 選手や NBA 選手のソーシャルメディア アカウントをハッキングpopup_iconした疑いで 2 人を起訴。このハッキング事件では、被害者のヌード写真が本人のアカウント上で流出しました。
  • FBI と CISA、分散型サービス拒否攻撃は 11 月 の選挙を脅かすものではないpopup_iconと公言。選挙結果の公表サイトが攻撃で低下する可能性はあるものの、実際の投票には影響を与えないとの見通しを示しています。

最近の注目すべきセキュリティ問題

件名:Zerologon の脆弱性を悪用する攻撃者が増加
説明:Cisco Talos は、Microsoft 社製品の脆弱性(CVE-2020-1472)に対する攻撃が急増していることを確認しています。この脆弱性は Netlogon における権限昇格の不具合であり、8 月の Microsoft セキュリティ更新プログラムで概要が公開されました。この脆弱性は Netlogon Remote Protocol で使用される暗号化認証方式の不備に起因しています。特に特定の Netlogon 機能の認証トークンを偽造してコンピュータのパスワードを更新するために使用される危険性があります。攻撃者はこの不備を利用してドメインコントローラ自体を含む任意のコンピュータに偽装し、ドメイン管理者のクレデンシャルにアクセスすることができます。
Snort SID55703、55704

件名:シスコが IOS オペレーティングシステムの脆弱性に関する警告を発表popup_icon
説明:シスコは最近、IOS オペレーティングシステムで見つかった複数の脆弱性を修正しました。その多くは重大な脆弱性に分類されています。今回の更新は、多くのシスコ製品に影響を与えるサービス妨害攻撃、ファイル上書き攻撃、入力検証攻撃に対処するものです。今回修正された脆弱性のうち 2 つ(CVE-2020-3421 および CVE-2020-3480)は、シスコのゾーンベース ファイアウォールに存在します。攻撃者はこれらのバグをエクスプロイトして、影響を受けるデバイスをリロードさせたり、ファイアウォールを通過するトラフィックの転送を停止させたりする可能性があります。
Snort SID:55815 〜 55819、55830 〜 55832

今週最も多く見られたマルウェアファイル

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256be29d4902d72abbc293376b42005d954807b3e6794b13fe628faff9bc94f6063popup_icon
MD529f47c2f15d6421bdd813be27a2e3b25
一般的なファイル名:FlashHelperServices.exe
偽装名:なし
検出名:Flash Helper Service

SHA 2561eef72aa566ba6c76b33f9d430d7233e358392382bfb3db81ca4f28d74f415a5popup_icon
MD501a607b4d69c549629e6f0dfd3983956
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:W32.Auto:1eef72aa56.in03.Talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr :: 1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 10 月 1 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for Oct. 1, 2020popup_icon」の抄訳です。

 

Tags:
コメントを書く