Talos 読者の皆様、こんにちは。
Talos はこれまで選挙のセキュリティに関する数多くの記事やビデオを発表してきましたが、米大統領選が目前に迫ってきましたので、そろそろまとめに入ろうと思います。こちらのブログ記事では、有権者への改まったアドバイスに加え、デマ攻撃や選挙に影響を与えようとする攻撃者に惑わされないようにするための方法を紹介しています。
また、PoetRAT マルウェアの進化を追いかけた Talos 研究者の記事も投稿しました。このリモートアクセス型トロイの木馬は、現在もアゼルバイジャンの公的機関や民間企業を狙っています。Talos はこれまで、時間とともにこの脅威がどのように進化し、俊敏性を高め、検出回避の手口を巧妙化させているのかを調査し続けてきました。
また、Talos が取り組んだ Microsoft 社主催の Azure Sphere 向けバグ発見チャレンジに関する詳細な記事では脆弱性調査を掘り下げています。Talos は最終的に合計 16 件の脆弱性を発見することに成功しました。この記事では、これらの脆弱性に関する情報と対策について説明しています。
今後予定されている公開イベント
イベント:クラウドに接続された ICS デバイスでのバグ追跡:クラウドからの root の取得
場所:CS3STHLM Virtual
開催日:10 月 22 日
講演者:Kelly Leaschner
骨子:クラウド接続型デバイスが急増しているため、その攻撃対象領域について、ソケットベースの従来型サーバアプリケーションとどのように異なるのかを理解することは極めて重要です。クラウドに接続されたアプリケーションをリッスンするオープンポートはないため、攻撃者によって制御されているデータをアプリケーションに忍びこませるには、追加工作が必要です。この講演では、アプリケーションの脆弱性調査を開始するために必要な最初の手順について説明します。物理デバイスをクラウドで制御する方式には、従来のソケットプログラミングと比べてセキュリティ上の利点がいくつかありますが、クラウドメッセージを処理するソフトウェアにもバグや脆弱性が存在します。講演ではこの点についても触れます。また、クラウドに接続されたアプリケーションの脆弱性を調査するための方法がどのように変化してきたかについても説明します。さらに、産業ベンダーのクラウドアプリケーションになりすまして root 権限を取得することにより講演者の Kelly が自ら発見した脆弱性も実際にお見せします。
イベント:A double-edged sword: The threat of dual-use tools(諸刃の剣:デュアルユースツールの脅威)
会場:SecureWV バーチャル
開催日:11 月 6 ~ 7 日
講演者:Edmund Brumaghin
骨子:最近では、情報セキュリティニュースを読むたびに、決まって大企業がサイバー犯罪者による脅迫の被害に遭ったというニュースが目に入ります。こうした脅威の状況から、リスクを特定してインフラの脆弱性を軽減するために多くの企業がレッドチームへの依存度をますます高めつつあります。そのための効果的なツールも業界全体で開発と強化が急ピッチで進んでいます。
本来、デュアルユースツールは、システム管理に加え、セキュリティテストやレッドチーミング活動の支援を目的として開発された管理者向けのツールです。しかし残念なことに、これらのツールの多くが、システム侵害や組織ネットワークへの攻撃、あるいは世界中の企業活動の妨害を目論む攻撃者にもしばしば利用されています。このウェビナーでは、デュアルユースツールと、それらのツールが歴史的にさまざまな攻撃でどのように使用されてきたかについて説明します。また、攻撃ライフサイクルのさまざまな段階で検出を免れるために、システム固有の機能やデュアルユースツールが実際の攻撃おいてどのように使用されることが多いのかについても、事例を挙げて説明します。さらに、正当なテクノロジーやツールセットが悪用されるのを防ぐ方法についても説明します。
1 週間のサイバーセキュリティ概況
- 北米の医療決済処理ベンダー 2 社、5 月と 6 月にそれぞれ別のサイバー攻撃を受け、カードスキミングマルウェアに感染。クレジットカード会社の Visa は、顧客であるこれらの 2 社が受けた攻撃に関する情報を開示しました。そのうち 1 件では 3 種類のマルウェアが使用されていたとのことです。
- Facebook 社、偽広告を掲載するために乗っ取られていたアカウントを大量に停止。中には、悪意のあるサイトに誘導して、偽のデザイナーハンドバッグやダイエットサプリメントを売り付けようとする偽広告もありました。
- GitHub、サイトに製品をアップロードする前にコード内の脆弱性をチェックできる新しい脆弱性スキャンツールをリリース。このツールはコードをクエリ可能な形式に変換し、コードの変更で生じた脆弱性やエラーを特定して開発者に報告します。
- デマ情報の拡散に関与するロシアのハッカー集団、アメリカの人気極右サイトに狙いを変えたと一部で報道。これらのハッカー集団は、米国の政治的分断の深刻化を目論み、民主党議員についての紛らわしい情報や虚偽情報を投稿しています。
- 米国財務省、ランサムウェアの被害者がデータの返却と引き換えに身代金を支払う行為に対して罰則を課す可能性があることを発表。国際的に活動する一部のサイバー犯罪者への資金供与は制裁措置に違反する可能性があると米国当局者は述べています。
- COVID-19 ワクチンの臨床試験、サイバー攻撃により一部中断。影響を受けた患者はいませんでしたが、研究者は患者の検査結果を一時的に紙に記録せざるを得なくなりました。
- 人気の出会い系アプリ Grindr、誰でも他のユーザのアカウントをハイジャックできる脆弱性を最近修正。同アプリのパスワードリセットトークンがブラウザで流出していた影響で、メールアドレスさえわかれば他のユーザのパスワードを誰でもリセットすることが可能でした。
- Universal Health Services 社、先週ランサムウェア攻撃を受けたものの、その後すべてのデータを完全に回復できたと発表。同病院チェーンによると、電子医療記録は影響を受けておらず、攻撃を受けたシステムとの接続はすでに回復しています。
- Facebook 社、コロナウイルスやインフルエンザに関して誤った情報を伝える米国大統領の投稿を削除。その一方で、同社は今後、著名人のアカウントから誤情報を削除することに対して慎重な姿勢を見せる可能性もあります。大手ソーシャルメディア企業の Facebook 社は、投稿の削除を誰がどのようなルールの下で承認したかについては依然明かしていません。
最近の注目すべきセキュリティ問題
件名:Zerologon の脆弱性を悪用する攻撃者が増加
説明:Cisco Talos では、Microsoft 社の脆弱性 CVE-2020-1472 に対する攻撃が急増していることを確認しています。この脆弱性は Netlogon における権限昇格の不具合であり、8 月の Microsoft セキュリティ更新プログラムで概要が公開されました。脆弱性は Netlogon Remote Protocol で使用される暗号化認証方式の不備に起因しています。エクスプロイトされた場合、特定の Netlogon 機能の認証トークンが偽造され、コンピュータのパスワードを更新される可能性があります。脆弱性を利用すればドメインコントローラ自体を含むあらゆるコンピュータを装えるため、ドメイン管理者のログイン情報にアクセスされる危険性があります。
Snort SID:55703、55704
件名:シスコが IOS オペレーティングシステムの脆弱性に関する警告を発表
説明:シスコは最近、IOS オペレーティングシステムで見つかった複数の脆弱性を修正しました。その多くは重大な脆弱性に分類されています。今回の更新は、多くのシスコ製品に影響を与えるサービス妨害攻撃、ファイル上書き攻撃、入力検証攻撃に対処するものです。今回修正された脆弱性のうち 2 つ(CVE-2020-3421 および CVE-2020-3480)は、シスコのゾーンベース ファイアウォールに存在します。攻撃者はこれらのバグをエクスプロイトして、影響を受けるデバイスをリロードさせたり、ファイアウォールを通過するトラフィックの転送を停止させたりする可能性があります。
Snort SID:55815 〜 55819、55830 〜 55832
今週最も多く見られたマルウェアファイル
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:be29d4902d72abbc293376b42005d954807b3e6794b13fe628faff9bc94f6063
MD5:29f47c2f15d6421bdd813be27a2e3b25
一般的なファイル名:FlashHelperServices.exe
偽装名:なし
検出名:Flash Helper Service
SHA 256:1eef72aa566ba6c76b33f9d430d7233e358392382bfb3db81ca4f28d74f415a5
MD5:01a607b4d69c549629e6f0dfd3983956
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:W32.Auto:1eef72aa56.in03.Talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 10 月 8 日に Talos Group のブログに投稿された「Threat Source newsletter for Oct. 8, 2020」の抄訳です。