Cisco Japan Blog

脅威情報ニュースレター(2021 年 1 月 28 日)

1 min read



Talos 読者の皆様、こんにちは。

最初のトピックは、ネットワークの安全性を保つために知っておくべき 2 件の脆弱性です。Cisco Talos は先日、phpGACLMicrium uc-HTTPpopup_icon で発見された複数の脆弱性を公開しました。すでに両製品のパッチが提供されているほか、対応する Snort ルールも配布されています。 

セキュリティ業界における今週最大のニュースは、国家的支援を受けた攻撃者popup_iconが世界中のセキュリティ研究者を標的にしていることが明らかになったことです。複数の Talos 研究者もこの攻撃の標的にされましたがpopup_icon、現時点でセキュリティリスクは確認されておらず、 Talos の研究者は被害を一切受けていません。

今後予定されている Talos の公開イベント

件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」 popup_icon

イベント:CactusCon

開催日:2 月 6 〜 7 日

講演者:Edmund Brumaghin、Nick Biasini

概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。

1 週間のサイバーセキュリティ概況

  • 電子メールセキュリティ企業 Mimecast 社、SolarWinds に対する攻撃の被害を受けたことpopup_iconを今週発表。同社は、セキュリティ証明書の侵害を受け、暗号化された認証情報が盗まれたことを発表しました。しかし盗まれた認証情報が悪用されたことを示す証拠は現在のところ見つかっていません。
  • SolarWinds に対する攻撃への対策がジョー・バイデン大統領のサイバーセキュリティ計画に早くも盛り込まれるpopup_icon。バイデン政権は、この攻撃の被害状況と、今後のサイバースパイ活動への影響に関して、まだ詳細を明らかにしていません。
  • 新型コロナウイルスワクチンの接種が世界中で進む中、予想どおりこの機会を悪用popup_iconするサイバー攻撃者が出現。攻撃者はワクチンに関するデマ攻撃をすでに開始しています。一部の研究者は、今後のワクチンの流通を妨げる危険性も指摘しています。
  • Amazon の Kindle デバイスで発見された脆弱性popup_iconにより、細工された電子書籍を通じてユーザのクレジットカード情報が盗まれる可能性が浮上。攻撃者は 3 つの脆弱性を組み合わせてエクスプロイトすることにより、被害者の Kindle を制御し、Kindle ストアでクレジットカードを使用したり、デバイスに保存されている個人情報にアクセスしたりできる可能性があります。
  • 米情報機関の国防情報局、データ会社から携帯電話の位置情報を令状なしに購入popup_iconしていたことが判明。同局は過去 2 年半に 5 回にわたって位置情報を照会する許可を得ていました。
  • 複数のランサムウェアグループ、身代金の恐喝手段として分散型サービス妨害攻撃の利用popup_iconを開始。この戦術を利用するランサムウェアファミリとしてこれまでに報告されているものには、SunCrypt と RagnarLocker があります。
  • ホームセキュリティ技術者、女性を監視するためにホームセキュリティカメラにハッキングpopup_iconしたことを認める。犯人はホームセキュリティ企業 ADT 社の元従業員で、顧客のアカウントに自分の電子メールアドレスを追加することで、顧客のセキュリティカメラをリモート操作していました。
  • Apple 社、速やかに iPhone を更新popup_iconして、現在エクスプロイトされている複数の脆弱性を修正するようユーザに呼びかける。IOS 14.4 では複数のエクスプロイトが修正されていますが、Apple 社は現在のところ詳細を明らかにしていません。

最近の注目すべきセキュリティ問題

件名:トロイの木馬「ElectroRAT」による暗号通貨ユーザの感染被害が急速に拡大popup_icon

説明:最近発見されたトロイの木馬「ElectroRAT」が、現在あらゆる手段を利用して暗号通貨ウォレットへの感染を試みています。同じ攻撃者は、無害な暗号通貨関連アプリケーションを装ったマルウェアをこれまでに 3 種類作成しています。また、アプリケーションのダウンロードを促すマーケティング活動にも力を入れています。トロイの木馬が仕組まれたこれらのアプリケーションをダウンロードすると、マルウェアに感染し、暗号通貨ウォレットに侵入されます。

Snort SID56991 〜 56993

 

件名:Cisco SD-WAN にリモートコード実行の脆弱性を発見popup_icon

説明:シスコは先週、複数の脆弱性を公開しました。攻撃者はこれらの脆弱性をエクスプロイトし、被害者のデバイス上で不正コードをリモート実行できる危険性があります。これらの脆弱性のうち 3 件の重大度スコアは 10 点中 9.9 点となっています。攻撃者は、影響を受ける製品上でさまざまな状態を引き起こし、最終的にはリモートでコードを実行できる可能性があります。これらの問題は、SD-WAN vBond オーケストレータ ソフトウェア、SD-WAN vEdge クラウドルータ、SD-WAN vEdge ルータ、SD-WAN vManage ソフトウェア、SD-WAN vSmart コントローラソフトウェアなどのシスコ製品に影響します。

Snort SID56942 〜 56944、56957 〜 56963

今週最も多く見られたマルウェアファイル

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

 

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:santivirusservice.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

 

SHA 256b76fbd5ff8186d43364d4532243db1f16f3cca3138c1fab391f7000a73de2ea6popup_icon

MD56a7401614945f66f1c64c6c845a60325

一般的なファイル名:pmropn.exe

偽装名:PremierOpinion

検出名:PUA.Win.Adware.Relevantknowledge::231753.in02

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 2566fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30popup_icon

MD50083bc511149ebc16109025b8b3714d7

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigatorBrowser

検出名:W32.6FDFCD0510-100.SBX.VIOC

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 01 月 28 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Jan. 28, 2021)popup_icon」の抄訳です。

コメントを書く