Categories: 脅威リサーチ

脅威情報ニュースレター(2021 年 1 月 14 日)

Talos 読者の皆様、こんにちは。

Microsoft 社は今週、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。Talos のブログ記事には、ネットワークを保護するためにリリースされた Snort ルールとともに、特に注意を要する重要な脆弱性についての説明が記載されています。

また、TalosIntelligence.com のお客様は新しくなったコンテンツおよび脅威カテゴリのリストをご確認いただけます。今回の更新により、十分なインテリジェンス情報に基づいてより的確な意思決定を下せるようになり、生産性を低下させることなくネットワークを保護できるようになります。

今後予定されている Talos の公開イベント

件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」

イベント:CactusCon

開催日:2 月 6 〜 7 日

講演者:Edmund Brumaghin、Nick Biasini

概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

件名:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、10 件の「緊急」を含む 83 件の脆弱性を公開

説明:Microsoft 社は、2021 年の第 1 弾となる月例のセキュリティ更新プログラムをリリースし、同社製品スイート全体に関連する 83 件の脆弱性についての情報を公開しました。「緊急」と評価された脆弱性は 10 件のみで、「警告」が 2 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。このセキュリティ更新プログラムの対象には、Microsoft Defender ウイルス対策ソフトウェア、Microsoft Remote Procedure Call ツール、Windows デバイスとの Bluetooth 通信など、さまざまな製品とサービスが含まれています。最も深刻な脆弱性の 1 つは、Microsoft Defender に存在します。CVE-2021-1647 は、Windows 2008 以降の特定のバージョンの Windows に影響します。この脆弱性がエクスプロイトされると、侵入先のマシンで任意のコードが実行される危険性があります。Microsoft 社によると、今回の修正はマルウェア対策製品に対する同社の定例更新であるため、このセキュリティ更新プログラムをインストールして脆弱性を修正するためにユーザが操作を行う必要は特にありません。

Snort SID56849 〜 56860、56865

件名:Lokibot が新たなドロッパーを実装

説明:Lokibot は現在最も有名な情報窃盗型マルウェアの 1 つです。多くの Lokibot 攻撃では、複数のログイン情報やその他の機密情報が攻撃者に流出します。今回発見された最新のキャンペーンでは、被害者のマシン上で Lokibot を実行するために、マルチステージ型かつマルチレイヤ型の複雑なドロッパーが使用されています。Lokibot 攻撃は、まず悪意のある XLS 添付ファイルをフィッシングメールで送り付けます。添付ファイルに含まれる難読化済みのマクロが実行されると、高度にパック処理された第 2 ステージ用のダウンローダがダウンロードされます。第 2 ステージでは暗号化された第 3 ステージが取得され、3 層構造の暗号化された Lokibot がダウンロードされます。第 3 ステージでは、権限昇格が発生した後に Lokibot が展開されます。次の図に、この攻撃の感染チェーンを示します。

Snort SID56577、56578

今週最も多く見られたマルウェアファイル

SHA 25620f0ce6ae08d954767bdd8445017453475d53fe1e448c07da7a8a6a1194374c6

MD56902aa6dd0fbd0d1b647e8d529c7ad3f

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Variant.23nh.1201

SHA 256a463f9a8842a5c947abaa2bff1b621835ff35f65f9d3272bf1fa5197df9f07d0

MD59b7c2b0abf5478ef9a23d9a9e87c7835

一般的なファイル名:INV1458863388-20210111852384.xlsm

偽装名:なし

検出名:W32.A463F9A884-90.SBX.TG

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:santivirusservice.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2566fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30

MD50083bc511149ebc16109025b8b3714d7

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigatorBrowser

検出名:W32.6FDFCD0510-100.SBX.VIOC

最新情報を入手するには、Twitter で Talos をフォローしてください。SnortClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

本稿は 2021 年 01 月 14 日に Talos Group のブログに投稿された「Threat Source newsletter (Jan. 14, 2021)」の抄訳です。

Share
TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。

Comments are closed.