Categories: 脅威リサーチ

脅威情報ニュースレター(2020 年 11 月 12 日)

 

数週間のお休みを経ての再開です。最新の記事では、感染先のエンドポイントにランサムウェアを投下するトロイの木馬「CRAT」に関する新たな調査結果を紹介しています。このブログ記事では、CRAT の詳細と CRAT からシステムを保護するための対策について説明しています。

 

今週、Microsoft 社のセキュリティ更新プログラム(月例)が公開されました。今回公開された脆弱性は約 120 件です。Microsoft 社はすべてのユーザに対し、これらのセキュリティ更新プログラムを至急適用するよう呼びかけています。Talos ブログでは、特に重大なバグの概要と、脆弱性がエクスプロイトされるのを防ぐための Snort ルールの更新について説明しています。

 

さらに先週は、最近急増するランサムウェア被害を防止するための医療機関向けアドバイザリも公開しました。こちらの記事もぜひお見逃しなく。攻撃やランサムウェアなどの被害を受けている自社顧客が存在する場合、対応措置の第一歩となるのは Cisco Talos インシデント対応(CTIR)サービスとの連携です。IR への連絡方法については、こちらのページの右上をご覧ください。

今後予定されている公開イベント

イベント:難読化の賛否:PoetRAT の起源と進化

会場:Cisco WebEx ウェビナー

開催日:11 月 19 日

講演者:Warren Mercer

概要:現在の脅威ランドスケープでは、リモートアクセス型トロイの木馬(RAT)による攻撃が急速に増加しています。現在拡散している RAT には、クライムウェアとスパイ活動ツールの両方が含まれます。この領域に新たに登場した PoetRAT は、Cisco Talos が今年に入って初めて発見したマルウェアです。PoetRAT は Python ベースの RAT で、現在も精力的に開発が進められていると見られます。また、特定のターゲットに対して活発に展開され続けています。PoetRAT の進化をたどっていくと、難読化の技術に成熟の跡が見られます。また、最初の発見以来、複数のキャンペーンを通じて進化し続けていることからも、アゼルバイジャンが引き続き標的とされていることは明白です。このウェビナーでは、PoetRAT を最初に発見した研究者たちが登壇してディスカッションを行います。内容は、PoetRAT の起源、現在までに判明した事実、これまでの進化とキャンペーンの詳細など多岐にわたります。

1 週間のサイバーセキュリティ概況

  • 先週、米国大統領選挙が実施され、さまざまな事実が明るみに出るも、幸いなことに重大なサイバー攻撃は発生せず。これまでのところ、先週火曜日に攻撃者グループが米国大統領選挙の妨害に成功したという事例は報告されていません。
  • 来年 1 月にジョー・バイデン氏が大統領に就任する見通しとなり、早くもバイデン氏の当選が今後のセキュリティに及ぼす影響が話題に。バイデン政権は、外国政府の支援を受けた攻撃者に対してより厳しい態度で臨み、選挙の安全性の強化を図るものと予想されています。
  • バイデン政権下でのもう 1 つの変化として、ホワイトハウスの「サイバー皇帝」と称されるポストが復活の見込み。このポストはバイデン氏が副大統領を務めたオバマ政権時代に設立されたものです。
  • 公的機関と民間企業が協力して選挙準備期間中のデマ情報の拡散を規制するも、スペイン語で書かれた投稿の大半は看過。選挙までの数日間、スペイン語圏の多くのユーザがフェイクニュースやデマ情報にさらされていたとの報告が相次いでいます。
  • 人気ビデオゲーム「原神」の開発元の Web サイトにバグがあり、数週間にわたってプレーヤーの電話番号が第三者に流出していた疑いが浮上。MiHoYo 社の Web サイトにある「パスワードを忘れた場合」機能のバグにより、ユーザの電話番号が第三者に流出していた疑いが報告されています。
  • 最近、複数の研究者が DNS ポイズニング攻撃の新たな波を発見。ユーザが気付かないうちに悪意のある Web サイトへ誘導するこの手法は古くから使われています。
  • ランサムウェアを利用する一部の攻撃者、偽の Facebook アカウントを使用して被害者に身代金を要求。データ盗難の可能性に関する民間の被害者からの申し立てに対抗するために広告が利用されています。
  • Apple 社、最新の iOS アップデートで 24 件のセキュリティ脆弱性を修正。研究者によると、パッチ配布の時点で 3 件のバグが実際にエクスプロイトされていました。
  • 台湾のデマ情報に対する取り組みが西側世界におけるフェイクニュースとの戦いにおいて次に取るべきステップの青写真になる可能性。台湾では政府関係者と民間の支援団体が協力して、オンラインでのデマ情報や誤報の拡散を積極的に抑制しています。

最近の注目すべきセキュリティ問題

件名:Microsoft 社が月例セキュリティ更新プログラムをリリース

詳細:Microsoft 社は今週、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 110 件強の脆弱性について情報を公開しました。同社が先月公開した脆弱性の数はここ数か月で最も少なかったものの、今月はそれよりもわずかに増加しています。18 件の脆弱性が「緊急」、残りの大部分が「重要」に分類されているほか、「重要度低」の脆弱性も 2 件報告されています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムは、HEVC ビデオ拡張機能、Azure Sphere プラットフォーム、Microsoft Exchange サーバなど、さまざまな製品とサービスを対象としています。

Snort SID56161 〜 56264、56230、56231、56254、56255、56286 〜 56289、56295、56296、56309、56301 〜 56305、56310、56312

 

件名:Adobe 社が Acrobat Reader のセキュリティ更新プログラムを公開

説明:Adobe 社は最近、デスクトップ版と Android 版の両方を含む Acrobat PDF Reader に複数の脆弱性が見つかったことを公表しました。今回発表された脆弱性には、Cisco Talos の研究者が発見したヒープ バッファ オーバーフローの脆弱性と解放済みメモリ使用(use after free)の脆弱性も含まれています。Acrobat Reader は、PDF をレンダリングするためのプラグインとして Web ブラウザに統合されています。そのため、悪意のある Web ページへユーザを誘導するか、細工された PDF を電子メールの添付ファイルとして送信するだけで本脆弱性がトリガーされます。また、すべての Android 版 Acrobat で「重要」に分類されるバグが発見されています。このバグがエクスプロイトされると、デバイス上の機密情報が漏えいする可能性があります。

参考資料:https://helpx.adobe.com/security/products/reader-mobile/apsb20-71.html

 

https://gblogs.cisco.com/jp/2020/11/talos-vulnerability-spotlight-multiple-9/

Snort SID53563、53564、55842、55843

 

今週最も多く見られたマルウェアファイル

SHA 256F059A5358C24CC362C2F74B362C75E02035FDF82F9FFAE8D553AFEE1A271AFD0 

MD5ce4395edbbf9869a5e276781af2e0fb5

一般的なファイル名:wupxarch635.exe

偽装名:なし

検出名:W32.Auto:f059a5358c.in03.Talos

 

SHA 256432FC2E3580E818FD315583527AE43A729586AF5EE37F99F04B562D1EFF2A1FD

MD5dd726d5e223ca762dc2772f40cb921d3

一般的なファイル名:ww24.exe

偽装名:なし

検出名:W32.TR:Attribute.23ln.1201

 

SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eternalblue-2.2.0.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 25697511b671c29a6c04c9c80658428b4ce55010d9dfe6ee5d813595d37fbe5500a

MD50cd267df5b55552a6589f4e67164fd3d

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:Auto.97511B.232354.in02

 

SHA 256C3E530CC005583B47322B6649DDC0DAB1B64BCF22B124A492606763C52FB048F

MD5e2ea315d9a83e7577053f52c974f6a5a

一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin

偽装名:なし

検出名:Win.Dropper.Agentwdcr :: 1201

 

最新情報を入手するには、Twitter で Talos をフォローしてください。SnortClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2020 年 11 月 12 日に Talos Group のブログに投稿された「Threat Source newsletter (Nov. 12, 2020)」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。