Talos 読者の皆様、こんにちは。
今年最後の脅威情報ニュースレターです。1 月 7 日までの数週間、お休みをいただきます。
今週の話題は、サプライチェーン攻撃「SolarWinds」に関するものばかりです。この攻撃の全容はまだ明らかになっていませんが、Cisco Talos がこれまでに把握している事実はこちらからご覧いただけます。また、シスコの既存のカバレッジを適用すれば、この攻撃で利用された FireEye 製品の脆弱性に対するエクスプロイトをすべて防止できます。
休暇期間中は、シスコのオープンソースツールを使って、リバースエンジニアリングや脅威ハンティングを体験してみませんか。少し早めのクリスマスプレゼントですが、Talos は先日、GhIDA と Dynamic Data Resolver 用の新バージョンをリリースしました。
1 週間のサイバーセキュリティ概況
- 米国内のセキュリティ研究者、防御ツール開発者、IT プロフェッショナル、および政府関係者、今週に入り SolarWinds インシデントへの対応に奔走。このインシデントが重大である理由は、こちらから確認できます。
- SolarWinds インシデントへの対応で、複数のセキュリティ業界団体が一致団結。水曜日にセキュリティ研究者たちが集まり、インシデントで使用された主要ドメインを掌握して徹底的な調査を行いました。
- 米国財務省および商務省、SolarWinds インシデントで被害に受けるも、ネットワーク上に確立されたバックドアが攻撃者によってどのように使用されたかや、実際に使用されたかどうかは現在のところ不明。Fortune 社の Web サイトによると、多くのフォーチュン 500 企業も SolarWinds 製品を使用していました。
- 下院情報委員会の Adam Schiff 委員長、SolarWinds インシデントを教訓に米国政府は重要なネットワークを保護するための「緊急作業」を実施する必要があると声明を発表。Schiff 氏は、被害を受けた民間企業に対し、米国の情報機関に連絡して対応を調整するよう呼びかけました。
- Apple 社、iOS ストアおよび Mac ストア上のアプリに対し、収集される個人情報の種類を識別するための新しいラベルの追加を開始。追加されるラベルには、「ユーザの追跡に使用されるデータ」、「ユーザにリンクされたデータ」、「ユーザにリンクされていないデータ」という 3 つの異なるカテゴリの情報が含まれます。
- Microsoft 社が「Adrozek」と名付けた新しいアドウェアキャンペーン、多数のブラウザの検索結果に悪意のある広告を挿入。このキャンペーンを主導する攻撃者集団は、偽の広告をユーザにクリックさせて、アフィリエイトにリンクされたページへ誘導することにより金銭的利益を得ています。
- ポーランドおよびリトアニアの政府機関、今週に入りデマ情報攻撃の被害を受ける。攻撃者は、両国政府が管理する複数の Web サイトを乗っ取り、意図的に誤解を招くような情報を投稿して、両国間の関係を破壊しようとしました。
- インターネット上で誰でもアクセスできる無防備なサーバ上に、X 線や MRI などの何千もの医療画像が保存されていることが発覚。その多くがロシアの大規模な医療システムに接続されていることを、あるセキュリティ会社が発見しました。
- 某セキュリティ企業、Microsoft Edge と Google Chrome からユーザの個人データを盗み出す 28 種類の悪意のあるブラウザプラグインを発見。300 万人以上がこれらのプラグインをすでにダウンロードしたと推定されます。
最近の注目すべきセキュリティ問題
タイトル:大規模な SolarWinds 攻撃の背後には外国政府の支援を受けた攻撃者集団が存在していると見られるものの、その全容はいまだ不明
説明:一般に広く利用されている IT 監視・管理ソフトウェア「SolarWinds Orion」の更新プログラムが、巧妙なサプライチェーン攻撃により改ざんされました。デジタル署名されたこの更新プログラムは、2020 年 3 月から 5 月にかけて SolarWinds の Web サイトから提供されていました。このバックドアは正規のコードよりも先に実際の SolarWinds 実行可能ファイルによってロードされます。そのため、被害者は異変に気付きません。報告によると、いくつかの世界的大企業がこのソフトウェアを使用しているため、このバックドアによってすでに大規模なサイバー攻撃やデータ漏洩が発生している可能性がありますが、全容はまだ明らかになっていません。少なくとも 2 つの米国政府機関(財務省と商務省)もこの攻撃の影響を受けています。米国国土安全保障省(DHS)と CISA は、すべての米国連邦民間機関に対し、ネットワークへの侵入の痕跡(IOC)を確認し、SolarWinds Orion 製品との接続をただちに切断するよう呼びかける緊急声明を発表しました。
参考資料:https://blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.html
https://krebsonsecurity.com/2020/12/u-s-treasury-commerce-depts-hacked-through-solarwinds-compromise/
Snort SID:56660 – 56668
タイトル:広範な攻撃の一環としてレッドチーミング セキュリティ ツールも盗み出される
説明:SolarWindws 製品の脆弱性に関連した一連の攻撃で、セキュリティベンダーの FireEye 社が社内で利用していたレッドチームツールの一部が、外国政府の支援を受けた攻撃者集団により盗み出されました。これらのツールの一部は、Cobalt Strike などの有名な攻撃フレームワークをベースにしていると考えられます。報告によれば、外部に公開されていたツールの中にゼロデイ脆弱性を標的とするものはないようです。外国政府の支援を受けたハッカー集団がこれらのツールを狙う理由は現在のところ不明です。このタイプの攻撃者は、通常、被害者が所有する価値の高いデータを標的にします。今回の情報開示の一環として、FireEye 社はシグニチャ/ルールのリポジトリもリリースしました。これらのルールは、さまざまな検出テクノロジーを通じて、公開された OST ツールの利用を検出できるように設計されています。
参考資料:https://github.com/fireeye/red_team_tool_countermeasures
https://blog.talosintelligence.com/2020/12/fireeye-breach-guidance.html
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
Snort SID:8068, 8422, 38491, 38492, 48359, 49100, 49171, 49861, 50137, 50168 – 50170, 50275 – 50278, 51288 – 51289, 51368, 51370 – 51372, 51390, 51966, 52512, 52513, 52603, 52620, 53433, 53435, 53346 – 53351, 53380 – 53383, 55703, 55704, 55802, 55862, 56290, 56436, 56586
ClamAV シグネチャ: W32.FindstrSearchForKeyWords
今週最も多く見られたマルウェアファイル
SHA 256:85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:2c36cb4e1771a04e728d75eb65b05f6875d4eb56df6eb5810af09d0d5e419cd5
MD5:eb20ca63dc3badc1a48072d33bd6428b
VirusTotal:
一般的なファイル名:1 Total New Invoices-Monday December 14 2020.xlsm
偽装名:なし
検出名:W32.2C36CB4E17-90.SBX.TG
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:4b8aef15c75ab675acdd9588bbcbd45dcc11a270513badfb21cfdfd92f723b01
MD5:7e36752d274e61b9f2b0ee43200fe36d
一般的なファイル名:Click HERE to start the File Launcher by WebNavigator Installer_ryymehv3_.exe
偽装名:WebNavigator Browser
検出名:W32.48C6324412-95.SBX.TG
SHA 256:763d0f405ca4a762ce5d27077f3092f295b6504a743f61b88a1de520bcdb3d8a
MD5:552299482ffa389321df9b05740c1b92
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigator Browser
検出名:W32.763D0F405C-100.SBX.VIOC
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 12 月 17 日に Talos Group のブログに投稿された「Threat Source newsletter (Dec. 17, 2020)」の抄訳です。