Cisco Japan Blog

脅威情報ニュースレター(2020 年 12 月 10 日)

1 min read



Talos 読者の皆様、こんにちは。

 

サイバーセキュリティ企業の FireEye は最近、社内でレッドチームが利用していた自社開発の攻撃的セキュリティツール(OST)が誤って外部に公開されていたことを公表しました。このインシデントの影響を懸念するユーザは極めて多いと予想されます。詳細については、これらの脆弱性に対する Talos の対応をまとめたこちらpopup_iconの記事をご覧ください。また、新しい Snort ルールもリリースされています。詳細については、こちらpopup_iconをご覧ください。 

 

今年に入ってから最も小規模だったものの、Microsoft セキュリティ更新プログラム(月例)も今週公開されています。今回 Microsoft 社が発表した脆弱性は 60 件未満ですが、その中には注意を要する重大な脆弱性もいくつか含まれています。

 

また、今四半期のインシデント対応の動向をまとめた Cisco Talos の最新レポートも発表されています。今四半期には、かつてないほど多くのランサムウェア攻撃が確認されています。現場でのインシデント対応から得られた知見について詳しくは、こちらpopup_iconのレポート全文をご覧ください。

1 週間のサイバーセキュリティ概況

  • 米国の選挙セキュリティ責任者を務めたクリス・クレブス氏、ドナルド・トランプ大統領が現在も拡散している選挙関連の偽情報についてインタビューで語るpopup_icon。クレブス氏は 11 月の選挙を「史上最も安全な選挙」と呼んだことでトランプ政権から解任されています。
  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、ロシア政府の支援を受けたハッカー集団による仮想マシンへの攻撃に対する注意popup_iconを喚起。このハッカー集団は侵入先のマシンに Web シェルをインストールして悪意のあるアクティビティを実行します。
  • オープンソースのインターネットプロトコルに重大な脆弱性popup_iconが見つかる。これらの脆弱性により、多くの Internet of Things(IoT)製品が攻撃にさらさる可能性があります。これらの脆弱性は今後も修正されない可能性があるとの見方がセキュリティ研究者の間で広がっています。
  • ハッカー集団が欧州連合の COVID-19 ワクチンデータに不正アクセスpopup_icon。欧州医薬品庁によると、ファイザー社と BioNTech 社が共同開発した COVID-19 ワクチンに関するデータも漏えいした疑いがあるとのことです。
  • FBI、アリゾナ州マリコパ郡で発生した有権者データの盗難事件を調査中popup_icon。報道では、ある組織に対するサイバー攻撃の証拠が捜査官により押収されたと伝えられています。
  • TrickBot ボットネット、攻撃に利用されていたサーバの大半が今年に入って閉鎖されたものの、最近再び活性化popup_icon。最新バージョンの TrickBot ボットネットには、デバイス上で脆弱なファームウェアをスキャンし、ファームウェアの読み取り、書き込み、消去を実行する機能が追加されているとの報告もあります。
  • njRAT を操る攻撃者集団、Pastebin を中央のコマンドサーバとして利用popup_iconする戦術に移行。この機能の導入によりマルウェアの検出がより困難になり、気付かれることなく攻撃活動を継続できる可能性が高まるだろうと研究者たちは報告しています。
  • Google 社および Apple 社、それぞれのアプリストアから位置データ企業 X-Mode を排除popup_icon。X-Mode 社の技術は多くの人気アプリで採用されていましたが、X-Mode 社は収集したデータを米軍や防衛関連企業に販売していました。
  • Adobe 社、Lightroom、Prelude、Experience Manager の各製品について重大な脆弱性を修正popup_iconする更新プログラムをリリース。これらの脆弱性の 1 つが攻撃者によってエクスプロイトされると、制御されていない検索パスがトリガーされて、最終的に任意のコードを実行される可能性があります。

最近の注目すべきセキュリティ問題

タイトル:Microsoft 社が公開した 1 か月間の脆弱性の件数が今年 1 月以来最少に

説明:今週、Microsoft 社から月例のセキュリティ更新プログラムがリリースされました。今回公開されたのは  Microsoft 製品スイート全体に関連する 58 件の脆弱性で、1 月以降にリリースされた月例セキュリティ更新プログラムでは最少となりました。「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムでは、SharePoint ファイル共有サービス、 Windows バックアップエンジン、Exchange メールサーバなど、複数の製品とサービスで確認された脆弱性が修正されています。

Snort SID56554、56557、56558、56560 ~ 56562、56564

 

タイトル:Windows 仮想マシンを標的とするランサムウェア RegretLockerpopup_icon

説明:Cisco Talos は、最近発見された RegretLocker ランサムウェアによる攻撃を防ぐための新しい Snort ルールをリリースしました。Windows 仮想マシンを標的とするこのマルウェアは、先月発見された新しいランサムウェアです。RegretLocker は仮想ハードドライブを暗号化するだけでなく、開いているファイルを閉じて暗号化する機能も備えています。感染したマシン上のファイルがすべて暗号化されると、電子メールを通じて攻撃者に身代金を支払うよう促すテキストファイルが表示されます。RegretLocker は特に派手なランサムウェアではありませんが、複数の手法が使用されていて、仮想マシンユーザにとっては極めて厄介なマルウェアであるとセキュリティ研究者たちは指摘しています。

Snort SID56555、56556

 

今週最も多く見られたマルウェアファイル

SHA 256c814e977d6451eeefacce58c0e0ffd395bc8725853a40c67aa7a326d6b39cfe1popup_icon

MD5fb8e3acde54227e3571f5341fafecf31

一般的なファイル名:kmmsauto-Downlading.zip

偽装名:なし

検出名:Win.Tool.Autokms::in01

 

SHA 256100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584popup_icon

MD5920823d1c5cb5ce57a7c69c42b60959c

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Variant.23mj.1201

 

SHA 256f4c15b1eee06d45fa6115ddcfeb24bdacf54570352e0cb713e1c5895089dae1dpopup_icon

MD5d5b40faa134ee1e73233e521ac476cdd

一般的なファイル名:12072020_130241_7399559.xlsm

偽装名:なし

検出名:W32.F4C15B1EEE-90.SBX.TG


SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eternalblue-2.2.0.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:vid001.exe

偽装名:なし

検出名:Win.Worm.Coinminer::1201

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 12 月 10 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Dec. 10, 2020)popup_icon」の抄訳です。

コメントを書く