Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2020 年 10 月 15 日)


2020年11月13日

Talos 読者の皆様、こんにちは。

選挙のセキュリティ対策シリーズの最新記事popup_iconでは、選挙関連セキュリティに携わる専門家に着目しています。また、長期にわたる調査の締めくくりとして、デマ情報の拡散とどのように戦い、選挙制度に対する米国民の信頼をどのように守るべきかというテーマで、地方自治体、州政府、連邦政府の選挙管理人向けに一連の助言もまとめています。 

今週、Microsoft 社のセキュリティ更新プログラム(月例)が公開されました。それに伴い、Snort ルールの大規模リリースpopup_iconも実施されていて、特に注意が必要な Microsoft 社製品の脆弱性について詳しく解説しています。

今後予定されている公開イベント

イベント:クラウドに接続された ICS デバイスでのバグ追跡:クラウドからの root の取得 popup_icon

場所:CS3STHLM Virtual

開催日:10 月 22 日

講演者:Kelly Leaschner

骨子:クラウド接続型デバイスが急増しているため、その攻撃対象領域について、ソケットベースの従来型サーバアプリケーションとどのように異なるのかを理解することは極めて重要です。クラウドに接続されたアプリケーションをリッスンするオープンポートはないため、攻撃者によって制御されているデータをアプリケーションに忍びこませるには、追加工作が必要です。この講演では、アプリケーションの脆弱性調査を開始するために必要な最初の手順について説明します。物理デバイスをクラウドで制御する方式には、従来のソケットプログラミングと比べてセキュリティ上の利点がいくつかありますが、クラウドメッセージを処理するソフトウェアにもバグや脆弱性が存在します。講演ではこの点についても触れます。また、クラウドに接続されたアプリケーションの脆弱性を調査するための方法がどのように変化してきたかについても説明します。さらに、産業ベンダーのクラウドアプリケーションになりすまして root 権限を取得することにより講演者の Kelly が自ら発見した脆弱性も実際にお見せします。

イベントA double-edged sword: The threat of dual-use tools(諸刃の剣:デュアルユースツールの脅威)popup_icon
会場:SecureWV
バーチャル開催日:11 月 7 日
講演者:Edmund Brumaghin
骨子:最近では、情報セキュリティニュースを読むたびに、決まって大企業がサイバー犯罪者による脅迫の被害に遭ったというニュースが目に入ります。こうした脅威の状況から、リスクを特定してインフラの脆弱性を軽減するために多くの企業がレッドチームへの依存度をますます高めつつあります。そのための効果的なツールも業界全体で開発と強化が急ピッチで進んでいます。

本来、デュアルユースツールは、システム管理に加え、セキュリティテストやレッドチーミング活動の支援を目的として開発された管理者向けのツールです。しかし残念なことに、これらのツールの多くが、システム侵害や組織ネットワークへの攻撃、あるいは世界中の企業活動の妨害を目論む攻撃者にもしばしば利用されています。このウェビナーでは、デュアルユースツールと、それらのツールが歴史的にさまざまな攻撃でどのように使用されてきたかについて説明します。また、攻撃ライフサイクルのさまざまな段階で検出を免れるために、システム固有の機能やデュアルユースツールが実際の攻撃おいてどのように使用されることが多いのかについても、事例を挙げて説明します。さらに、正当なテクノロジーやツールセットが悪用されるのを防ぐ方法についても説明します。

1 週間のサイバーセキュリティ概況

  • Trickbot、米国サイバー軍と民間セキュリティ企業による撲滅キャンペーンを生き延びたpopup_iconものの、活動は沈静化。今回のキャンペーンの成果から、米国のサイバー防御能力がいかに向上しているかが伺われます。
  • 株式取引アプリ Robinhood の一部ユーザ、アカウントのハッキングpopup_iconにより情報が漏洩し、数千ドルの損失を被ったと報告。同アプリの運営企業は、これらの損失とシステム侵害の関連性を否定しています。
  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、Windows Netlogon の脆弱性チェーンpopup_iconを利用する複数の APT(高度で持続的な攻撃)が州および地方自治体のネットワークを標的にしていると警告。F5 BIGIP および Citrix NetScaler の深刻な脆弱性が攻撃者による最初の足場固めに利用されたという報告も発表されています。
  • ノルウェー議会、今年初めに同国政府のネットワークに対してサイバー攻撃を仕掛けたとして、ロシア政府の支援を受けた攻撃者集団を正式に告発popup_icon。この攻撃により複数の政治家の電子メールアドレスがハッキングされています。
  • ビデオチャット/会議サービス Zoom、来週からエンドツーエンドで暗号化された通話機能popup_iconをユーザに提供。暗号化キーはユーザ自身で生成でき、Zoom 社のサーバから暗号化キーを見られない仕組みとなっています。
  • iPhone 12 の予約注文に関連したオンライン詐欺が発生popup_icon。iPhone 12 を予約注文できると謳い、ユーザの Apple ID ログイン情報を盗み取る偽サイトが最近急増しています。
  • Amazon プライムデーに関しても詐欺目的の新たな攻撃ベクトルpopup_iconを確認。今週開催された 2 日間限定の大セール Amazon プライムデーですが、その告知を装った悪意のある電子メールとリンクが出回りました。
  • 書籍販売店チェーン Barnes & Noble 社、10 月 10 日にデータ侵害を受けたと顧客に警戒を呼びかけpopup_icon。今回のデータ侵害により、顧客の電話番号、電子メールアドレス、住所情報が流出したおそれがあると同社は発表しています。
  • ペンシルベニア州が選挙セキュリティ、郵便投票、投票集計の最終決戦場にpopup_icon。ペンシルベニア州は今回の大統領選挙における激戦州の 1 つであり、同州が直面している課題は米国全体のそれの縮図と言えます。

最近の注目すべきセキュリティ問題

件名:Microsoft 社が 2020 年 10 月の月例セキュリティ更新プログラムをリリース

詳細:Microsoft 社は今週火曜日に、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 100 件若の脆弱性について情報を公開しました。そのうち 14 件の脆弱性は「緊急」、残りの大部分は「重要」に分類されています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムは、SharePoint ドキュメント管理システム、Azure Sphere、Windows カメラコーデック(マシン上のさまざまなビデオファイルを表示するためのコーデック)など、さまざまな製品を対象としています。

Snort SID53689 〜 53691

タイトル:Lemon Duck の活発化により再び注目が集まる暗号通貨マイナー

説明:Cisco Talos は最近、マルチモジュール型のボットネットを複数の方法で拡散する複雑なキャンペーンを確認しました。この「Lemon Duck」と呼ばれる脅威は、暗号通貨マイニングペイロードを使用してコンピュータのリソースを奪い取り、仮想通貨 Monero のマイニングを実行します。攻撃者は、悪名高い Eternal Blue や、Windows 10 マシンに影響を与える SMBGhost といった、電子メール、psexec、WMI、SMB の脆弱性に対するエクスプロイトを利用し、感染した RTF ファイルを送信するなどの手口を使ってネットワーク中に脅威を拡散します。一部の亜種は RDP ブルートフォース攻撃もサポートしています。ただし、最近観察された攻撃では、この機能が省略されていました。また、マイニングプールに参加するシステムの数を増やすために、Mimikatz などのツールも利用されています。

Snort SID55926 〜 55928

今週最も多く見られたマルウェアファイル

SHA 2567f16b5e291ccba6411c95bafc3fe7eeb5c4a57df8ba32cfd173e75cc8826c921popup_icon

MD50b422df6c3d71d2147350d11c256724e

一般的なファイル名:wupxarch.exe

偽装名:なし

検出名:W32.Auto:7f16b5.in03.Talos

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eter.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon

MD5e2ea315d9a83e7577053f52c974f6a5a

一般的なファイル名:Tempmf582901854.exe

偽装名:なし

検出名:Win.Dropper.Agentwdcr::1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 10 月 15 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 15, 2020)popup_icon」の抄訳です。

 

Tags:
コメントを書く