Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2020 年 12 月 17 日)


2020年12月28日

 

Talos 読者の皆様、こんにちは。

今年最後の脅威情報ニュースレターです。1 月 7 日までの数週間、お休みをいただきます。 

今週の話題は、サプライチェーン攻撃「SolarWinds」に関するものばかりです。この攻撃の全容はまだ明らかになっていませんが、Cisco Talos がこれまでに把握している事実はこちらpopup_iconからご覧いただけます。また、シスコの既存のカバレッジを適用すれば、この攻撃で利用された FireEye 製品の脆弱性に対するエクスプロイトをすべて防止できます。

休暇期間中は、シスコのオープンソースツールを使って、リバースエンジニアリングや脅威ハンティングを体験してみませんか。少し早めのクリスマスプレゼントですが、Talos は先日、GhIDA と Dynamic Data Resolver 用の新バージョンをリリースしました。

1 週間のサイバーセキュリティ概況

  • 米国内のセキュリティ研究者、防御ツール開発者、IT プロフェッショナル、および政府関係者、今週に入り SolarWinds インシデントへの対応に奔走。このインシデントが重大である理由は、こちらpopup_iconから確認できます。
  • SolarWinds インシデントへの対応で、複数のセキュリティ業界団体が一致団結。水曜日にセキュリティ研究者たちが集まり、インシデントで使用された主要ドメインを掌握して徹底的な調査popup_iconを行いました。
  • 米国財務省および商務省、SolarWinds インシデントで被害に受けるpopup_iconも、ネットワーク上に確立されたバックドアが攻撃者によってどのように使用されたかや、実際に使用されたかどうかは現在のところ不明。Fortune 社の Web サイトによると、多くのフォーチュン 500 企業も SolarWinds 製品を使用していました。
  • 下院情報委員会の Adam Schiff 委員長、SolarWinds インシデントを教訓に米国政府は重要なネットワークを保護するための「緊急作業」を実施する必要があるpopup_iconと声明を発表。Schiff 氏は、被害を受けた民間企業に対し、米国の情報機関に連絡して対応を調整するよう呼びかけました。
  • Apple 社、iOS ストアおよび Mac ストア上のアプリに対し、収集される個人情報の種類を識別するための新しいラベルの追加popup_iconを開始。追加されるラベルには、「ユーザの追跡に使用されるデータ」、「ユーザにリンクされたデータ」、「ユーザにリンクされていないデータ」という 3 つの異なるカテゴリの情報が含まれます。
  • Microsoft 社が「Adrozek」と名付けた新しいアドウェアキャンペーンpopup_icon、多数のブラウザの検索結果に悪意のある広告を挿入。このキャンペーンを主導する攻撃者集団は、偽の広告をユーザにクリックさせて、アフィリエイトにリンクされたページへ誘導することにより金銭的利益を得ています。
  • ポーランドおよびリトアニアの政府機関、今週に入りデマ情報攻撃の被害popup_iconを受ける。攻撃者は、両国政府が管理する複数の Web サイトを乗っ取り、意図的に誤解を招くような情報を投稿して、両国間の関係を破壊しようとしました。
  • インターネット上で誰でもアクセスできる無防備なサーバ上に、X 線や MRI などの何千もの医療画像popup_iconが保存されていることが発覚。その多くがロシアの大規模な医療システムに接続されていることを、あるセキュリティ会社が発見しました。
  • 某セキュリティ企業、Microsoft Edge と Google Chrome からユーザの個人データを盗み出す 28 種類の悪意のあるブラウザプラグインpopup_iconを発見。300 万人以上がこれらのプラグインをすでにダウンロードしたと推定されます。

最近の注目すべきセキュリティ問題

タイトル:大規模な SolarWinds 攻撃の背後には外国政府の支援を受けた攻撃者集団が存在していると見られるものの、その全容はいまだ不明

説明:一般に広く利用されている IT 監視・管理ソフトウェア「SolarWinds Orion」の更新プログラムが、巧妙なサプライチェーン攻撃により改ざんされました。デジタル署名されたこの更新プログラムは、2020 年 3 月から 5 月にかけて SolarWinds の Web サイトから提供されていました。このバックドアは正規のコードよりも先に実際の SolarWinds 実行可能ファイルによってロードされます。そのため、被害者は異変に気付きません。報告によると、いくつかの世界的大企業がこのソフトウェアを使用しているため、このバックドアによってすでに大規模なサイバー攻撃やデータ漏洩が発生している可能性がありますが、全容はまだ明らかになっていません。少なくとも 2 つの米国政府機関(財務省と商務省)もこの攻撃の影響を受けています。米国国土安全保障省(DHS)と CISA は、すべての米国連邦民間機関に対し、ネットワークへの侵入の痕跡(IOC)を確認し、SolarWinds Orion 製品との接続をただちに切断するよう呼びかける緊急声明を発表しました。

参考資料:https://blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.htmlpopup_icon

https://krebsonsecurity.com/2020/12/u-s-treasury-commerce-depts-hacked-through-solarwinds-compromise/ popup_icon

Snort SID56660 – 56668

タイトル:広範な攻撃の一環としてレッドチーミング セキュリティ ツールも盗み出される

説明:SolarWindws 製品の脆弱性に関連した一連の攻撃で、セキュリティベンダーの FireEye 社が社内で利用していたレッドチームツールの一部が、外国政府の支援を受けた攻撃者集団により盗み出されました。これらのツールの一部は、Cobalt Strike などの有名な攻撃フレームワークをベースにしていると考えられます。報告によれば、外部に公開されていたツールの中にゼロデイ脆弱性を標的とするものはないようです。外国政府の支援を受けたハッカー集団がこれらのツールを狙う理由は現在のところ不明です。このタイプの攻撃者は、通常、被害者が所有する価値の高いデータを標的にします。今回の情報開示の一環として、FireEye 社はシグニチャ/ルールのリポジトリもリリースしました。これらのルールは、さまざまな検出テクノロジーを通じて、公開された OST ツールの利用を検出できるように設計されています。

参考資料:https://github.com/fireeye/red_team_tool_countermeasurespopup_icon

https://blog.talosintelligence.com/2020/12/fireeye-breach-guidance.html

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html popup_icon

Snort SID8068, 8422, 38491, 38492, 48359, 49100, 49171, 49861, 50137, 50168 – 50170, 50275 – 50278, 51288 – 51289, 51368, 51370 – 51372, 51390, 51966, 52512, 52513, 52603, 52620, 53433, 53435, 53346 – 53351, 53380 – 53383, 55703, 55704, 55802, 55862, 56290, 56436, 56586

ClamAV シグネチャ: W32.FindstrSearchForKeyWords

今週最も多く見られたマルウェアファイル

SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eternalblue-2.2.0.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 2562c36cb4e1771a04e728d75eb65b05f6875d4eb56df6eb5810af09d0d5e419cd5popup_icon

MD5eb20ca63dc3badc1a48072d33bd6428b

VirusTotal

一般的なファイル名:1 Total New Invoices-Monday December 14 2020.xlsm

偽装名:なし

検出名:W32.2C36CB4E17-90.SBX.TG

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2564b8aef15c75ab675acdd9588bbcbd45dcc11a270513badfb21cfdfd92f723b01 popup_icon

MD57e36752d274e61b9f2b0ee43200fe36d

一般的なファイル名:Click HERE to start the File Launcher by WebNavigator Installer_ryymehv3_.exe

偽装名:WebNavigator Browser

検出名:W32.48C6324412-95.SBX.TG

SHA 256763d0f405ca4a762ce5d27077f3092f295b6504a743f61b88a1de520bcdb3d8apopup_icon

MD5552299482ffa389321df9b05740c1b92

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigator Browser

検出名:W32.763D0F405C-100.SBX.VIOC

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 12 月 17 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Dec. 17, 2020)popup_icon」の抄訳です。

Tags:
コメントを書く