Talos 読者の皆様、こんにちは。
今週は、ワシントン DC 以外での出来事に目を向けるのは難しいでしょう。しかし、Snort 3 GA が正式にリリースされたというビッグニュースをお伝えしないわけにはいきません。文字どおり何年もの時間をかけて行われた今回のアップデートでは、Snort のパフォーマンスとカスタマイズレベルが大幅にアップグレードされています。火曜日の発表記事はこちら
からご覧いただけます。正式版のダウンロードやその他のリソースについては、Snort 3 のハブページをご覧ください。
Talos では、さまざまな職種の求人を行っています。採用情報ページをブックマークして、新しい求人情報が掲載されていないかを随時ご確認ください。現在、セキュリティエキスパートを数名募集中です。
今後予定されている Talos の公開イベント
件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」
イベント:CactusCon
開催日:2 月 6 〜 7 日
講演者:Edmund Brumaghin、Nick Biasini
概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。
1 週間のサイバーセキュリティ概況
- SolarWinds 社製品の侵害に使用された 4 種類目のマルウェア群をセキュリティ研究者が発見。このマルウェアが広く拡散した可能性は低いものの、この攻撃についてはまだ不明点が数多く残されていることが改めて浮き彫りとなりました。
- SolarWinds 社への攻撃に使用された手法は今後も使用され続けるものと見られる。多くの研究者が、今回の大規模攻撃で使用された手法を他の攻撃者が模倣するだろうと予想しています。
- SolarWinds 社のインシデント、連邦議会の議題にも影響を与える見通し。激動が予想されるジョー・バイデン新大統領就任後の 100 日間で、民主党主導の議会は、サイバーセキュリティ関連の法案を複数取り上げると見られています。
- 物議を醸しているアプリ「Parler」、ロシア企業の支援を受け、オンラインへの復帰を目指す。Web ホスティングサービス「Epik」は、陰謀論や極右的主張を助長する他のサイトをサポートしていることで知られています。
- 先日、米国議会議事堂の襲撃に加わった女性が、ナンシー・ペロシ下院議長のラップトップを盗んだ容疑で逮捕される。この女性は、盗んだデバイスをロシアの諜報機関に送ろうとしていたと伝えられています。
- インド政府、メッセージングアプリ「WhatsApp」に対し、Facebook とのデータ共有方法を変更する新しいプライバシーポリシー案の撤回を要求。インドは、WhatsApp の最大の市場の 1 つです。
- 米国国家安全保障局、長年にわたりサイバーセキュリティ担当官を務めたロブ・ジョイス氏を新しいサイバーディレクターに任命。ジョイス氏は、ドナルド・トランプ前大統領の退任前に、トランプ氏の特別セキュリティアドバイザーを務めていました。
- 攻撃者のコードに存在するエラーが原因となり、盗まれたログイン情報がインターネット上で公開される。しばらくの間、誰でも Google 検索を使用して、盗まれた電子メールアドレスに関連するパスワードを見つけ出せる状態になっていました。
最近の注目すべきセキュリティ問題
タイトル:クウェートの組織を標的とする BumbleBee ツールを使用した攻撃が発生
説明:最近、「BumbleBee」と呼ばれる Webshell が Microsoft Exchange サーバに対するスパイ活動に使用されているという報告が複数の研究者から寄せられています。これまでに影響を受けた組織はすべてクウェートに拠点を置いています。9 月には、標的となった Exchange サーバ上でファイルのアップロードとダウンロードが BumbleBee を使用して行われていたことが確認されています。研究者によると、このキャンペーンの陰にいる攻撃者グループは xHunt であり、BumbleBee を使用してコマンドの実行とファイルのアップロード/ダウンロードを行っています。BumbleBee は、xHunt が新たな武器として採用した最新のツールです。このグループは、少なくとも 2018 年から存在しており、これまでクウェートの組織や政府機関を標的とし、特に輸送セクターや貿易セクターを攻撃してきました。
Snort SID:56887 〜 56890
説明:先週、シスコは、RV シリーズ ワイヤレスルータの一部で発見された 74 件の脆弱性を公開し、パッチを適用するのではなく新しいハードウェアを購入するようユーザに呼びかけました。これらの脆弱性はすべて、すでにサポートが終了している製品に存在しています。影響を受けるデバイスは、Cisco Small Business RV110W、RV130、RV130W、RV215W システムなどで、これらはすべて、ファイアウォール、VPN、または標準ルータとして使用できます。いずれの脆弱性も、標的デバイスのログイン情報を持っていなければ利用できないため、簡単にエクスプロイトされることはありません。そのため、新しい機器へアップグレードせずに済む可能性も残されています。
Snort SID:56839 〜 56845、56866 〜 56876、56893、56894
今週最も多く見られたマルウェアファイル
SHA 256:8cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4
MD5:176e303bd1072273689db542a7379ea9
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Variant.24cl.1201
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:6fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30
MD5:0083bc511149ebc16109025b8b3714d7
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.6FDFCD0510-100.SBX.VIOC
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 01 月 21 日に Talos Group
Authors