Cisco Japan Blog

脅威情報ニュースレター(2020 年 12 月 3 日)

1 min read



 

Talos 読者の皆様、こんにちは。

今年は特にランサムウェアが注目を集めましたが、不正な暗号通貨マイナーがどこかに消えたわけではありません。Talos は最近、感染先のマシン上で Monero をマイニングする新しい暗号通貨マイナー「Xanthe」を発見しました。Xanthe のメインペイロードは Monero マイニングプログラム「XMRig」の亜種で、多く存在するプロセス検出ツールからマイニングプロセスの存在を隠蔽する共有オブジェクトによって保護されています。 

さらに今週から(可能であれば毎週 1 本のペースで)今年 1 年を振り返る「Beers with Talos(Talos とビールを)」のエピソードもお届けする予定です。今週のエピソードは QR コードpopup_iconについてです。QR コードに関して何か気を付けるべき点はあるのかや、ロボットが人間に反乱を起こす場合に QR コードが悪用され得る方法などについてpopup_icon論じています。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

件名:Docker を標的とする暗号通貨マイナー Xanthe

説明:Cisco Talos は最近、「Xanthe」という暗号通貨マイニングボットによる攻撃キャンペーンを発見しました。Xanthe は、Docker 関連の脅威を追跡するためにシスコが設置したセキュリティハニーポットの 1 つを侵害しようとしていました。感染プロセスは、ダウンローダモジュールによってメインのインストーラモジュールがダウンロードされるところから開始されます。インストーラモジュールには、ローカルおよびリモートネットワーク上の他のシステムに拡散する機能も含まれています。メインモジュールは、クライアント側証明書を盗み出し、パスワードなしで他のホストに接続することにより外部への拡散を試みます。また、2 つの bash スクリプトを実行してセキュリティサービスを終了し、競合する他のボットネットを削除します。さらに、スケジュール設定された cron ジョブを作成し、システム起動スクリプトの 1 つを変更することにより永続性を確保します。メインペイロードは Monero マイニングプログラム「XMRig」の亜種で、プロセスを列挙するさまざまなツールからマイナープロセスの存在を隠蔽する共有オブジェクトによって保護されています。

OSQueryhttps://github.com/Cisco-Talos/osquery_queries/blob/master/packs/linux_malware.conf

ClamAVUnix.Coinminer.Xanthe-9791859-0、Unix.Coinminer.Xanthe-9791860-0、Unix.Coinminer.Xanthe-9791861-0

 

件名:WebKit がメモリ解放後使用(use-after-free)およびコード実行の脆弱性を修正

詳細:WebKit ブラウザエンジンには、さまざまなソフトウェア機能に起因する複数の脆弱性が存在します。悪意のある Web ページ内のコードにより複数の解放済みメモリ使用(use-after-free)エラーが引き起こされ、リモートなどで任意コードを実行される危険性があります。攻撃者はユーザを欺き、WebKit を利用するブラウザから悪意のある Web ページにアクセスさせることにより、これらの脆弱性をエクスプロイトできます。WebKit は主に Apple の Safari Web ブラウザで使用されていますが、すべての iOS Web ブラウザと一部の PlayStation コンソールでも使用されています。

Snort SID55844、55845、56126、56127、56379 ~ 56382

今週最も多く見られたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:vid001.exe

偽装名:なし

検出名:Win.Worm.Coinminer::1201

 

SHA 256586d6b581a868f71c903097a3b7046f61a0797cda090a36687767189483e2360popup_icon

MD57e0bc1c01f44c7a663d82e4aff71ee6c

一般的なファイル名:dfsvc.exe

偽装名:なし

検出名:Auto.586D6B.232349.in02

 

SHA 256100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584popup_icon

MD5920823d1c5cb5ce57a7c69c42b60959c

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Variant.23mj.1201

 

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

 

SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eternalblue-2.2.0.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 12 月 03 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Dec. 3, 2020)popup_icon」の抄訳です。

 

コメントを書く