Talos 読者の皆様、こんにちは。
サイバーセキュリティ企業の FireEye は最近、社内でレッドチームが利用していた自社開発の攻撃的セキュリティツール(OST)が誤って外部に公開されていたことを公表しました。このインシデントの影響を懸念するユーザは極めて多いと予想されます。詳細については、これらの脆弱性に対する Talos の対応をまとめたこちらの記事をご覧ください。また、新しい Snort ルールもリリースされています。詳細については、こちらをご覧ください。
今年に入ってから最も小規模だったものの、Microsoft セキュリティ更新プログラム(月例)も今週公開されています。今回 Microsoft 社が発表した脆弱性は 60 件未満ですが、その中には注意を要する重大な脆弱性もいくつか含まれています。
また、今四半期のインシデント対応の動向をまとめた Cisco Talos の最新レポートも発表されています。今四半期には、かつてないほど多くのランサムウェア攻撃が確認されています。現場でのインシデント対応から得られた知見について詳しくは、こちらのレポート全文をご覧ください。
1 週間のサイバーセキュリティ概況
- 米国の選挙セキュリティ責任者を務めたクリス・クレブス氏、ドナルド・トランプ大統領が現在も拡散している選挙関連の偽情報についてインタビューで語る。クレブス氏は 11 月の選挙を「史上最も安全な選挙」と呼んだことでトランプ政権から解任されています。
- 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、ロシア政府の支援を受けたハッカー集団による仮想マシンへの攻撃に対する注意を喚起。このハッカー集団は侵入先のマシンに Web シェルをインストールして悪意のあるアクティビティを実行します。
- オープンソースのインターネットプロトコルに重大な脆弱性が見つかる。これらの脆弱性により、多くの Internet of Things(IoT)製品が攻撃にさらさる可能性があります。これらの脆弱性は今後も修正されない可能性があるとの見方がセキュリティ研究者の間で広がっています。
- ハッカー集団が欧州連合の COVID-19 ワクチンデータに不正アクセス。欧州医薬品庁によると、ファイザー社と BioNTech 社が共同開発した COVID-19 ワクチンに関するデータも漏えいした疑いがあるとのことです。
- FBI、アリゾナ州マリコパ郡で発生した有権者データの盗難事件を調査中。報道では、ある組織に対するサイバー攻撃の証拠が捜査官により押収されたと伝えられています。
- TrickBot ボットネット、攻撃に利用されていたサーバの大半が今年に入って閉鎖されたものの、最近再び活性化。最新バージョンの TrickBot ボットネットには、デバイス上で脆弱なファームウェアをスキャンし、ファームウェアの読み取り、書き込み、消去を実行する機能が追加されているとの報告もあります。
- njRAT を操る攻撃者集団、Pastebin を中央のコマンドサーバとして利用する戦術に移行。この機能の導入によりマルウェアの検出がより困難になり、気付かれることなく攻撃活動を継続できる可能性が高まるだろうと研究者たちは報告しています。
- Google 社および Apple 社、それぞれのアプリストアから位置データ企業 X-Mode を排除。X-Mode 社の技術は多くの人気アプリで採用されていましたが、X-Mode 社は収集したデータを米軍や防衛関連企業に販売していました。
- Adobe 社、Lightroom、Prelude、Experience Manager の各製品について重大な脆弱性を修正する更新プログラムをリリース。これらの脆弱性の 1 つが攻撃者によってエクスプロイトされると、制御されていない検索パスがトリガーされて、最終的に任意のコードを実行される可能性があります。
最近の注目すべきセキュリティ問題
タイトル:Microsoft 社が公開した 1 か月間の脆弱性の件数が今年 1 月以来最少に
説明:今週、Microsoft 社から月例のセキュリティ更新プログラムがリリースされました。今回公開されたのは Microsoft 製品スイート全体に関連する 58 件の脆弱性で、1 月以降にリリースされた月例セキュリティ更新プログラムでは最少となりました。「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムでは、SharePoint ファイル共有サービス、 Windows バックアップエンジン、Exchange メールサーバなど、複数の製品とサービスで確認された脆弱性が修正されています。
Snort SID:56554、56557、56558、56560 ~ 56562、56564
タイトル:Windows 仮想マシンを標的とするランサムウェア RegretLocker
説明:Cisco Talos は、最近発見された RegretLocker ランサムウェアによる攻撃を防ぐための新しい Snort ルールをリリースしました。Windows 仮想マシンを標的とするこのマルウェアは、先月発見された新しいランサムウェアです。RegretLocker は仮想ハードドライブを暗号化するだけでなく、開いているファイルを閉じて暗号化する機能も備えています。感染したマシン上のファイルがすべて暗号化されると、電子メールを通じて攻撃者に身代金を支払うよう促すテキストファイルが表示されます。RegretLocker は特に派手なランサムウェアではありませんが、複数の手法が使用されていて、仮想マシンユーザにとっては極めて厄介なマルウェアであるとセキュリティ研究者たちは指摘しています。
Snort SID:56555、56556
今週最も多く見られたマルウェアファイル
SHA 256:c814e977d6451eeefacce58c0e0ffd395bc8725853a40c67aa7a326d6b39cfe1
MD5:fb8e3acde54227e3571f5341fafecf31
一般的なファイル名:kmmsauto-Downlading.zip
偽装名:なし
検出名:Win.Tool.Autokms::in01
SHA 256:100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584
MD5:920823d1c5cb5ce57a7c69c42b60959c
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.23mj.1201
SHA 256:f4c15b1eee06d45fa6115ddcfeb24bdacf54570352e0cb713e1c5895089dae1d
MD5:d5b40faa134ee1e73233e521ac476cdd
一般的なファイル名:12072020_130241_7399559.xlsm
偽装名:なし
検出名:W32.F4C15B1EEE-90.SBX.TG
SHA 256:85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:vid001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 12 月 10 日に Talos Group のブログに投稿された「Threat Source newsletter (Dec. 10, 2020)」の抄訳です。