Cisco Japan Blog

脅威情報ニュースレター(2021 年 2 月 18 日)

1 min read



Talos 読者の皆様、こんにちは。

Talos の調査を記事で読むにせよ、ポッドキャストで視聴するにせよ、今週はよりどりみどりです。

『Beers with Talos』は先週 100 回目popup_iconを迎えました。これを記念して、引退していた Nigel に復帰を打診し、Mighty Reds の最新情報と SolarWinds について語ってもらいました。過去 100 回の『Beers with Talos』エピソードの中で、一番のお気に入りはどれですか?Twitter で @TalosSecurity のタグをつけて投稿してください。  

『Talos Takes』の最新エピソードも、Snort 3 を祝した特別回です。Nick Mavis が登場し、Snort 3 の進歩を振り返るとともに、Snort 3 にアップグレードするメリットpopup_iconについて語っています。

記事を読みたいという方は、Talos が最近確認したマルウェア「Masslogger」popup_iconの変更点について詳しくまとめた記事があるので、ぜひご覧ください。Masslogger が攻撃対象のマシンにインストールされると、Microsoft Outlook や Google Chrome などの重要な場所からユーザのログイン情報が盗まれます。

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

1 週間のサイバーセキュリティ概況

  • フランス政府、「フランスの複数の企業や機関」popup_iconが過去数年間、サイバー攻撃の標的になっていたと発表。国家が支援する攻撃者グループがあるフランスのソフトウェア企業を攻撃のターゲットにしました。同社の顧客には、エアバス社やフランス法務省などが名を連ねています。
  • 先週発生したフロリダ州の町の上水道処理施設に対するサイバー攻撃popup_iconが示唆する、水処理システム「SCADA」への攻撃者の関心の高まり。サイバーセキュリティのニーズに対する予算の不足や古いオペレーティングシステムの使用など、小規模な自治体が直面している問題が浮き彫りになりました。
  • Microsoft 社、SolarWinds 社の製品を悪用したサプライチェーン攻撃に関連するコードの改変に関与した開発者が 1,000 人にのぼるpopup_icon可能性があると発表。同社の社長はまた、このキャンペーンを「これまでで最大規模の最も巧妙な攻撃」と評しています。
  • ポーランドのビデオゲーム開発企業 CD Projekt Red のシステムを侵害した攻撃グループ、同社の一部のゲームのソースコードを闇サイトで販売したpopup_iconと声明を発表。同社が要求された身代金を支払わなかったため、盗んだデータを 700 万ドルで販売したと主張しています。
  • バージニア州、包括的なデータプライバシー法を可決popup_iconした米国で 2 番目の州に。本法律が施行されると、自分に関してどのような情報が収集されているかを個人が組織に問い合わせたり、パーソナライズされた広告ターゲティングをオプトアウトしたりすることが可能になります。
  • 新型コロナウイルス感染症に関する偽情報を広めた最大の元凶popup_iconは外国の議員、影響力のある組織、一部の独立した医師であるとの報道。主要な陰謀説の 1 つに、新型コロナウイルスが工場で製造されたという説があります。新たな調査により、この陰謀説を唱えたのは中国が最初だったことが判明しました。
  • 米国バイデン政権、SolarWinds 社製品を利用したデータ侵害の調査が完了するまでにはまだ数か月かかる可能性があるpopup_iconと指摘。今後このような攻撃を防ぐことを目的とした大統領令も検討しています。
  • Apple 社の M1 プロセッサを主なターゲットとするpopup_iconマルウェアの開発が進行。セキュリティ研究者は最近、標準的なアドウェアのように見える悪意のある Safari 拡張機能を発見しました。今後機能が追加される可能性があります。
  • 米国の法執行機関、大規模な暗号通貨窃盗計画に関与したとして複数の北朝鮮人を起訴popup_icon。複数回にわたり、米国国防総省、国務省、米国の認可を受けた防衛関連企業の従業員などを狙ったスピアフィッシング攻撃を実行したということです。

最近の注目すべきセキュリティ問題

件名:長い間展開されてきたトロイの木馬が新たに Android デバイスを標的にpopup_icon

説明:LodaRAT の開発者グループが、Android プラットフォームを標的に加えました。Windows を標的とした LodaRAT の今回の開発サイクルで特徴的なのは、音声録音機能の強化です。この新しいマルウェアは、脅威ランドスケープでこれまで観察されてきたその他の Android ベースの RAT と同じ原則に従っています。Android バージョンに加え、Windows を標的とした Loda の新バージョンも、同じキャンペーン内で確認されています。新しいバージョンである Loda4Windows と Loda4Android の開発作業を行っているのが「Kasablanca」という同じグループであることは明らかです。LodaRAT の背後にいる攻撃者グループは、バングラデシュをターゲットとした特定のキャンペーンに関与していました。ただ、同キャンペーンでは他の攻撃者の関わりも確認されています。

Snort SID53031

ClamAV シグネチャ:Win.Packed.LokiBot-6963314-0、Doc.Exploit.Cve_2017_11882-7570663-1、Doc.Downloader.Loda-7570590-0

 

件名:Accusoft ImageGear で任意コードを実行される脆弱性を発見popup_icon

説明:Accusoft ImageGear には、リモートからコードを実行できる 2 件の脆弱性が存在します。ImageGear は、Accusoft 社が提供しているドキュメント/画像処理ライブリです。アプリケーションの開発に利用でき、ドキュメント/画像に関するライフサイクル全体の処理が含まれています。発見された脆弱性は、ドキュメント/画像処理開発ツールキットである Accusoft ImageGear ライブラリに存在します。攻撃者は、これらの脆弱性をエクスプロイトして境界外書き込みなどさまざまな状況を作り出すことで、最終的に任意のコードを実行することができます。攻撃のターゲットが細工されたファイルを開くと、この脆弱性がエクスプロイトされます。

Snort SID43608、43609、56158 〜 56161、56365、56366、56451、56452

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 2564647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57bpopup_icon

MD5f37167c1e62e78b0a222b8cc18c20ba7

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.4647F1A085.in12.Talos

 

SHA 25623a80df363e2f5ec6594bf952db3569e7ca59d4163283f808753775c215dd652popup_icon

MD5259f42bd7d2f513c5c579d6554d9db66

一般的なファイル名:ethm2.exe

偽装名:なし

検出名:WinGoRanumBot::mURLin::W32.Auto:23a80df363.in03.Talos

 

SHA 2561a8a17b615799f504d1e801b7b7f15476ee94d242affc103a4359c4eb5d9ad7fpopup_icon

MD588781be104a4dcb13846189a2b1ea055

一般的なファイル名:ActivityElement.dp

偽装名:なし

検出名:Win.Trojan.Generic::sso.talos

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 02 月 18 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Feb. 18, 2021)popup_icon」の抄訳です。

 

コメントを書く