Talos 読者の皆様、こんにちは。
最初のトピックは、ネットワークの安全性を保つために知っておくべき 2 件の脆弱性です。Cisco Talos は先日、phpGACL と Micrium uc-HTTP で発見された複数の脆弱性を公開しました。すでに両製品のパッチが提供されているほか、対応する Snort ルールも配布されています。
セキュリティ業界における今週最大のニュースは、国家的支援を受けた攻撃者が世界中のセキュリティ研究者を標的にしていることが明らかになったことです。複数の Talos 研究者もこの攻撃の標的にされましたが、現時点でセキュリティリスクは確認されておらず、 Talos の研究者は被害を一切受けていません。
今後予定されている Talos の公開イベント
件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」
イベント:CactusCon
開催日:2 月 6 〜 7 日
講演者:Edmund Brumaghin、Nick Biasini
概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。
1 週間のサイバーセキュリティ概況
- 電子メールセキュリティ企業 Mimecast 社、SolarWinds に対する攻撃の被害を受けたことを今週発表。同社は、セキュリティ証明書の侵害を受け、暗号化された認証情報が盗まれたことを発表しました。しかし盗まれた認証情報が悪用されたことを示す証拠は現在のところ見つかっていません。
- SolarWinds に対する攻撃への対策がジョー・バイデン大統領のサイバーセキュリティ計画に早くも盛り込まれる。バイデン政権は、この攻撃の被害状況と、今後のサイバースパイ活動への影響に関して、まだ詳細を明らかにしていません。
- 新型コロナウイルスワクチンの接種が世界中で進む中、予想どおりこの機会を悪用するサイバー攻撃者が出現。攻撃者はワクチンに関するデマ攻撃をすでに開始しています。一部の研究者は、今後のワクチンの流通を妨げる危険性も指摘しています。
- Amazon の Kindle デバイスで発見された脆弱性により、細工された電子書籍を通じてユーザのクレジットカード情報が盗まれる可能性が浮上。攻撃者は 3 つの脆弱性を組み合わせてエクスプロイトすることにより、被害者の Kindle を制御し、Kindle ストアでクレジットカードを使用したり、デバイスに保存されている個人情報にアクセスしたりできる可能性があります。
- 米情報機関の国防情報局、データ会社から携帯電話の位置情報を令状なしに購入していたことが判明。同局は過去 2 年半に 5 回にわたって位置情報を照会する許可を得ていました。
- 複数のランサムウェアグループ、身代金の恐喝手段として分散型サービス妨害攻撃の利用を開始。この戦術を利用するランサムウェアファミリとしてこれまでに報告されているものには、SunCrypt と RagnarLocker があります。
- ホームセキュリティ技術者、女性を監視するためにホームセキュリティカメラにハッキングしたことを認める。犯人はホームセキュリティ企業 ADT 社の元従業員で、顧客のアカウントに自分の電子メールアドレスを追加することで、顧客のセキュリティカメラをリモート操作していました。
- Apple 社、速やかに iPhone を更新して、現在エクスプロイトされている複数の脆弱性を修正するようユーザに呼びかける。IOS 14.4 では複数のエクスプロイトが修正されていますが、Apple 社は現在のところ詳細を明らかにしていません。
最近の注目すべきセキュリティ問題
件名:トロイの木馬「ElectroRAT」による暗号通貨ユーザの感染被害が急速に拡大
説明:最近発見されたトロイの木馬「ElectroRAT」が、現在あらゆる手段を利用して暗号通貨ウォレットへの感染を試みています。同じ攻撃者は、無害な暗号通貨関連アプリケーションを装ったマルウェアをこれまでに 3 種類作成しています。また、アプリケーションのダウンロードを促すマーケティング活動にも力を入れています。トロイの木馬が仕組まれたこれらのアプリケーションをダウンロードすると、マルウェアに感染し、暗号通貨ウォレットに侵入されます。
Snort SID:56991 〜 56993
件名:Cisco SD-WAN にリモートコード実行の脆弱性を発見
説明:シスコは先週、複数の脆弱性を公開しました。攻撃者はこれらの脆弱性をエクスプロイトし、被害者のデバイス上で不正コードをリモート実行できる危険性があります。これらの脆弱性のうち 3 件の重大度スコアは 10 点中 9.9 点となっています。攻撃者は、影響を受ける製品上でさまざまな状態を引き起こし、最終的にはリモートでコードを実行できる可能性があります。これらの問題は、SD-WAN vBond オーケストレータ ソフトウェア、SD-WAN vEdge クラウドルータ、SD-WAN vEdge ルータ、SD-WAN vManage ソフトウェア、SD-WAN vSmart コントローラソフトウェアなどのシスコ製品に影響します。
Snort SID:56942 〜 56944、56957 〜 56963
今週最も多く見られたマルウェアファイル
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:b76fbd5ff8186d43364d4532243db1f16f3cca3138c1fab391f7000a73de2ea6
MD5:6a7401614945f66f1c64c6c845a60325
一般的なファイル名:pmropn.exe
偽装名:PremierOpinion
検出名:PUA.Win.Adware.Relevantknowledge::231753.in02
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:6fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30
MD5:0083bc511149ebc16109025b8b3714d7
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.6FDFCD0510-100.SBX.VIOC
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 01 月 28 日に Talos Group のブログに投稿された「Threat Source newsletter (Jan. 28, 2021)」の抄訳です。