脅威情報ニュースレター（2020 年 12 月 3 日）

 

Talos 読者の皆様、こんにちは。

今年は特にランサムウェアが注目を集めましたが、不正な暗号通貨マイナーがどこかに消えたわけではありません。Talos は最近、感染先のマシン上で Monero をマイニングする新しい暗号通貨マイナー「Xanthe」を発見しました。Xanthe のメインペイロードは Monero マイニングプログラム「XMRig」の亜種で、多く存在するプロセス検出ツールからマイニングプロセスの存在を隠蔽する共有オブジェクトによって保護されています。 

さらに今週から（可能であれば毎週 1 本のペースで）今年 1 年を振り返る「Beers with Talos（Talos とビールを）」のエピソードもお届けする予定です。今週のエピソードは QR コードについてです。QR コードに関して何か気を付けるべき点はあるのかや、ロボットが人間に反乱を起こす場合に QR コードが悪用され得る方法などについて論じています。

1 週間のサイバーセキュリティ概況

• FBI は今週に入り、一部の攻撃者が電子メール転送ルールを利用して電子メールセンサーを回避し、スパムメールを送信していると警告。攻撃者たちは、正規の電子メールスレッドにスパムメールを忍び込ませることで、スパム送信の成功率を高めようとしています。
• Home Depot 社、2014 年のデータ漏えいに関して 40 以上の州と和解。同社は 1,750 万ドルを支払い、新しいセキュリティ対策を導入することに合意しました。
• Aspen Cybersecurity Group、次期バイデン政権が米国のサイバーセキュリティ態勢を改善できる主な分野についてレポートを発表。このレポートには、バイデン次期大統領が議会と協力して実践できる具体的な行動についての提言も含まれています。
• 米国最高裁、最も適用範囲の広いハッキング防止法を変え得る訴訟で審理を開始。サイバーセキュリティ研究者の間では、インターネット上で基本的な調査を行っただけでも、この法律によって罰せられる可能性があるとの懸念が広がっています。
• 北朝鮮政府の支援を受けたハッカー集団、今年に入り世界中の製薬企業 6 社以上を攻撃の標的に。最近のレポートによると、新型コロナワクチンの開発に取り組む米国、英国、韓国の製薬企業がサイバー攻撃の標的となっています。
• さらに、今後新型コロナワクチンの流通に携わる可能性がある企業も攻撃の標的に。攻撃者の狙いがテクノロジーを盗み出すことなのか、流通を混乱させることなのかは不明と IBM のサイバーセキュリティ部門は述べています。
• メリーランド州ボルチモア郡内の学校、ランサムウェア攻撃を受けた後の数日間、リモート授業を中止。州政府関係者は、学校から学生に支給したノート PC は攻撃の影響を受けていないと発表しています。
• Google 社のセキュリティ研究者、大量の Wi-Fi パケットを送信することで iPhone を乗っ取れる可能性がある深刻な脆弱性を発見したと最近発表。この脆弱性に対するパッチは Apple 社からすでに配布されていますが、エクスプロイトされた場合、周辺のデバイスにも瞬時に拡散する可能性があります。
• 偽の Google ドライブリンクを使用してユーザに悪意のある Web ページを開かせようとする新たな攻撃キャンペーンが出現。このキャンペーンでは、Google 社から直接送信されたようにメッセージを偽装する新たな手口が利用されています。

最近の注目すべきセキュリティ問題

件名：Docker を標的とする暗号通貨マイナー Xanthe

説明：Cisco Talos は最近、「Xanthe」という暗号通貨マイニングボットによる攻撃キャンペーンを発見しました。Xanthe は、Docker 関連の脅威を追跡するためにシスコが設置したセキュリティハニーポットの 1 つを侵害しようとしていました。感染プロセスは、ダウンローダモジュールによってメインのインストーラモジュールがダウンロードされるところから開始されます。インストーラモジュールには、ローカルおよびリモートネットワーク上の他のシステムに拡散する機能も含まれています。メインモジュールは、クライアント側証明書を盗み出し、パスワードなしで他のホストに接続することにより外部への拡散を試みます。また、2 つの bash スクリプトを実行してセキュリティサービスを終了し、競合する他のボットネットを削除します。さらに、スケジュール設定された cron ジョブを作成し、システム起動スクリプトの 1 つを変更することにより永続性を確保します。メインペイロードは Monero マイニングプログラム「XMRig」の亜種で、プロセスを列挙するさまざまなツールからマイナープロセスの存在を隠蔽する共有オブジェクトによって保護されています。

OSQuery：https://github.com/Cisco-Talos/osquery_queries/blob/master/packs/linux_malware.conf

ClamAV：Unix.Coinminer.Xanthe-9791859-0、Unix.Coinminer.Xanthe-9791860-0、Unix.Coinminer.Xanthe-9791861-0

 

件名：WebKit がメモリ解放後使用（use-after-free）およびコード実行の脆弱性を修正

詳細：WebKit ブラウザエンジンには、さまざまなソフトウェア機能に起因する複数の脆弱性が存在します。悪意のある Web ページ内のコードにより複数の解放済みメモリ使用（use-after-free）エラーが引き起こされ、リモートなどで任意コードを実行される危険性があります。攻撃者はユーザを欺き、WebKit を利用するブラウザから悪意のある Web ページにアクセスさせることにより、これらの脆弱性をエクスプロイトできます。WebKit は主に Apple の Safari Web ブラウザで使用されていますが、すべての iOS Web ブラウザと一部の PlayStation コンソールでも使用されています。

Snort SID：55844、55845、56126、56127、56379 ～ 56382

今週最も多く見られたマルウェアファイル

SHA 256：9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

MD5：2915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名：vid001.exe

偽装名：なし

検出名：Win.Worm.Coinminer::1201

 

SHA 256：586d6b581a868f71c903097a3b7046f61a0797cda090a36687767189483e2360

MD5：7e0bc1c01f44c7a663d82e4aff71ee6c

一般的なファイル名：dfsvc.exe

偽装名：なし

検出名：Auto.586D6B.232349.in02

 

SHA 256：100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584

MD5：920823d1c5cb5ce57a7c69c42b60959c

一般的なファイル名：FlashHelperService.exe

偽装名：Flash Helper Service

検出名：W32.Variant.23mj.1201

 

SHA 256：8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9

MD5：34560233e751b7e95f155b6f61e7419a

一般的なファイル名：SAntivirusService.exe

偽装名：A n t i v i r u s S e r v i c e

検出名：PUA.Win.Dropper.Segurazo::tpd

 

SHA 256：85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5

MD5：8c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名：Eternalblue-2.2.0.exe

偽装名：なし

検出名：Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら（またはお使いのポッドキャストアプリ）から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2020 年 12 月 03 日に Talos Group のブログに投稿された「Threat Source newsletter (Dec. 3, 2020)」の抄訳です。