Talos 読者の皆様、こんにちは。
今週は、Talos が長年追いかけてきたトロイの木馬 LodaRAT の最新情報をお届けします。Android デバイスをターゲットとする新バージョンが現れました。デバイスに感染してユーザのクレデンシャルを盗み、通話やメッセージなどを監視しようとします。
また、今週も Microsoft セキュリティ更新プログラム(月例)が公開されましたが、脆弱性は比較的少数でした。いつものように Microsoft セキュリティ更新プログラムに関するブログ記事と、ユーザを保護するための Snort ルールの更新を公開しています。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
1 週間のサイバーセキュリティ概況
- サイバー攻撃でフロリダ州の小さな町の飲料水を汚染しようとする事件が発生。自治体関係者によると、リモートの攻撃者がシステムを侵害し、飲用水に含まれる水酸化ナトリウムの量を増やそうとしました。命に関わる被害が出る可能性もありました。
- Google 社、悪意のあるコードを挿入していることが判明した Chrome ブラウザの人気拡張機能を削除。これに関係するオープンソースプロジェクトの元の作成者が最近、正体不明のグループにコードを販売していました。
- ミネアポリス警察、George Floyd 氏が警察官に拘束されて死亡した後、Google にジオフェンス令状を発行して抗議者を追跡。全域捜査が行われた結果、多くの無実の傍観者が逮捕の波に巻き込まれました。
- 米国内の 11 の病院に対するランサムウェア攻撃の後、何千もの患者の医療関連書類がオンラインで公開。公開された情報には、患者の名前、住所、誕生日、医療診断、保険会社宛ての手紙などが含まれていました。
- ポーランドのビデオゲーム開発企業 CD Projekt Red 社、今週ランサムウェア攻撃の被害者に。攻撃の背後にいるグループは、最近リリースされた「サイバーパンク 2077」など同社の 3 つのゲームのソースコードを公開すると通告しています。
- 北朝鮮の支援を受けた攻撃者グループが、いまだにサイバー攻撃を利用して同国の核兵器計画の資金に充当していると国連の専門家パネルが声明を発表。主に狙われるのは金融機関や仮想通貨両替所です。
- Microsoft 社、最近解体された Emotet について、防御する側は引き続き注意が必要と警告。この悪名高いボットネットが、国際的な法執行機関による大規模な捜査活動の後に舞い戻ってくるかどうかは、現時点では不明です。
- 米国選挙支援委員会、16 年ぶりに新基準を採用。電子投票機に関して、基本的なサイバーセキュリティテストの実施が義務付けられました。その一方で、紙を使った投票への移行が着々と進んでいます。
- 人気メッセージングアプリ Signal、イランにおける最近の禁止措置の回避策を発表。ユーザは TLS プロキシを使用してネットワークブロックをバイパスできます。
最近の注目すべきセキュリティ問題
件名:Microsoft 社が公開した 1 ヵ月間の脆弱性の件数が、2020 年 1 月以来最少に
説明:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 56 件の脆弱性についての情報を公開しました。同社が公開した脆弱性の 1 ヵ月分の件数としては、2020 年 1 月以来最少となります。「緊急」と評価された脆弱性は 11 件のみで、「警告」が 3 件、残りは「重要」となっています。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムでは、Microsoft Office 製品スイート、Windows DNS サーバ、SharePoint ファイル共有サービスなど、複数の製品とサービスで確認された脆弱性が修正されています。
Snort SID:57103、57104、57106 〜 57108、57123、57128
件名:リモート攻撃に対して無防備な Cisco VPN ルータ
説明:シスコは、中小企業向け VPN 用に設計された RV シリーズ ルータの複数の脆弱性を公開しました。この脆弱性がエクスプロイトされると、標的のデバイス上のデータが表示または操作されたり、その他の不正なアクションを実行される危険性があります。これらのルータには VPN 機能が組み込まれており、中小企業での利用やオフィスのネットワークへのリモートアクセスに利用することが想定されています。脆弱性が存在するのは、ルータが管理インターフェイスで HTTP リクエストを検証する方法です。細工された HTTP リクエストが標的のデバイスに送信されて脆弱性がエクスプロイトされると、root ユーザとして任意のコードを実行される危険性があります。
Snort SID:57065、57068 〜 57070、57072 〜 57095
今週最も多く見られたマルウェアファイル
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:santivirusservice.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:4647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57b
MD5:f37167c1e62e78b0a222b8cc18c20ba7
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.4647F1A085.in12.Talos
SHA 256:1a8a17b615799f504d1e801b7b7f15476ee94d242affc103a4359c4eb5d9ad7f
MD5:88781be104a4dcb13846189a2b1ea055
一般的なファイル名:ActivityElement.dp
偽装名:なし
検出名:Win.Trojan.Generic::sso.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 02 月 11 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 11, 2021)」の抄訳です。