ご存じない方もいらっしゃるかもしれませんが、どういった経緯なのか、今週、Snort がネットの流行語になる
という愉快な出来事がありました。
2020 年も、「ようやく」と言うべきか「もう」と言うべきか、年の瀬を迎えようとしています。そこで、本年のマルウェアを振り返ってみることにしましょう。何年も前から蔓延している Emotet ですが、今年は興味深い動向を見せました。夏に活動を事実上休止した後、ここ数ヵ月の間に再開したのです。そこで Cisco Talos は、Emotet で利用されていたいくつかのコマンドアンドコントロール(C2)ドメインの所有権を取得し、傾向と最近の変化を検証しました。
また、ランサムウェア Nibiru 用の新しいデクリプタツールもリリースしました。Nibiru の被害を受けた場合は、このツールを使って暗号化されたファイルを安全に復号できます。
1 週間のサイバーセキュリティ概況
- 米国のドナルド・トランプ大統領、同国のサイバーセキュリティ担当高官である Chris Krebs 氏を今週解任。今月の大統領選挙で大規模な不正投票が行われたとする主張を Krebs 氏が否定したことをうけ、トランプ大統領は同氏を批判していました。
- コロナ禍が依然として終息しない中、世界各地の教育機関がハイブリッド学習環境の維持に注力。しかし多くの教育機関は、オンライン学習を妨げるサイバー攻撃からの防御にも追われています。
- 国家の支援を受けた攻撃者、新型コロナウイルスのワクチン研究を標的とする攻撃を継続。Microsoft 社の研究者は、カナダ、フランス、インド、韓国、米国のワクチン製造会社が攻撃を受けていることを最近確認したと述べています。
- 独自の新型コロナ接触者追跡アプリを導入する地方自治体、州政府、中央政府が増加する中、保持/共有されるデータにアプリ間で大きな差異があることを研究者が発見。コロナ禍の初期に、Apple 社と Google 社は接触通知システムに関するプライバシー保護ガイドラインを示しましたが、多くのアプリはこれに従っていません。
- トランプ大統領、不正投票が行われたとする主張の裏付けとして、人気のセキュリティ従事者会議 DEFCON のハッキング実体験ブースの映像を流用。この映像は、ある投票記録集計機の脆弱性をセキュリティ研究者が実証する模様を捉えたものです。しかし、選挙期間にこの種の攻撃が実際に使用されたことを示す証拠は存在しません。
- 米国国家安全保障局(NSA)、リバース エンジニアリング ツール Ghidra の最新バージョンをリリース。
- macOS に搭載された一部アプリ、Big Sur へのアップデートにより、いくつかの VPN とファイアウォールによる検出を迂回できる状態に。これらのアプリは、Apple 社自身の実装である NEFilterDataProvider を回避していると見られます。
- よく使われているパスワードの 2020 年版の最新リストに、お馴染みの安易なパスワードがランクイン。「123456」や「password」といった推測されやすいパスワードが、依然としてあらゆる場面で使用されています。
- Microsoft 社、Meltdown エクスプロイトや Spectre エクスプロイトなどの攻撃から保護する新たな製品を大手チップメーカーと共同開発中。開発中のこのチップは、コンピュータ上の重要なデータに対する攻撃者のアクセスを阻止するもので、Qualcomm、AMD、Intel の各社がすでに採用を表明しています。
最近の注目すべきセキュリティ問題
件名:リモートからコードを実行されるおそれのあるエクスプロイトが Cisco Security Manager に存在
説明:シスコは、自社製のソフトウェアである Cisco Security Manager に 3 件の深刻な脆弱性が存在することを開示し、即時のパッチ適用をユーザに促しました。これらの脆弱性が利用されると、標的となった被害者のデバイス上で、ログイン情報がなくても任意のコードが実行され、ファイルをダウンロードされるおそれがあります。脆弱性の重大度は、1 件が「重大」、その他は「高」となっています。これらの脆弱性は、Cisco Security Manager リリース 4.22 およびそれ以前のリリースに影響します。
参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW
Snort SID:56408 – 56423
件名:Pixar OpenUSD の脆弱性が macOS の一部バージョンに影響
説明:Pixar OpenUSD には脆弱性が複数存在していて、エクスプロイトされると、悪意のあるさまざまなアクションを実行されるおそれがあります。Pixar 社は、多要素で構成される任意の 3D シーンの入れ替えといった、いくつかのタイプのアニメーション制作工程にこのソフトウェアを使用しています。アニメーション制作スタジオを対象とする同ソフトウェアは、デジタルアニメーション制作プロセスのさまざまな側面をつなぐパイプラインとして、拡張性と高速性に特化して設計されています。ほとんどの用途では、処理対象の入力が信頼できるものであることが前提となっています。macOS のデフォルトでは、USD ファイル形式について、Quick Look を通じてサムネイルとプレビューハンドラの両方が登録されています。USD ファイルを開くためのデフォルトアプリケーションは、「プレビュー」アプリケーションです。iOS の場合は AR アプリケーションがデフォルトハンドラになります。USD ファイルは Web ページに埋め込むことやメッセージで送信することができ、ファイルをクリックすると AR アプリケーションが開かれます。したがって、一部の Mac オペレーティングシステムは、これらのバグに対して脆弱な状態となっています。
Snort SID:54415, 54416, 54467 – 54472, 54488 – 54493, 54922, 54923
今週最も多く見られたマルウェアファイル
SHA 256:432FC2E3580E818FD315583527AE43A729586AF5EE37F99F04B562D1EFF2A1FD
MD5:dd726d5e223ca762dc2772f40cb921d3
一般的なファイル名:ww24.exe
偽装名:なし
検出名:W32.TR:Attribute.23ln.1201
SHA 256:F059A5358C24CC362C2F74B362C75E02035FDF82F9FFAE8D553AFEE1A271AFD0
MD5:ce4395edbbf9869a5e276781af2e0fb5
一般的なファイル名:wupxarch635.exe
偽装名:なし
検出名:W32.Auto:f059a5358c.in03.Talos
SHA 256:85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584
MD5:920823d1c5cb5ce57a7c69c42b60959c
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.23mj.1201
SHA 256:C3E530CC005583B47322B6649DDC0DAB1B64BCF22B124A492606763C52FB048F
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr :: 1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 11 月 19 日に Talos Group
Authors