Talos 読者の皆様、こんにちは。
新たに公開したビデオを早速ご紹介したいので、今週は脅威情報ニュースレターの特別版をお届けします。
SolarWinds 社製品を悪用したサプライチェーン攻撃について語り合った座談会の全編動画をぜひご覧ください。座談会に登場したのは、インシデント対応担当者、グローバル脅威インテリジェンス研究者、アウトリーチチームなど、Talos の複数の部門の研究者たちです。SolarWinds 攻撃に関し、Talos が把握している情報はもちろん、まだ明らかになっていない点についても議論しています。このビデオは Talos の YouTube ページでもご視聴いただけます。
記事を読みたいという方は、Microsoft Exchange のゼロデイ攻撃に対する脆弱性について完全網羅した記事を先週公開していますので、そちらをご覧ください。ネットワークのセキュリティを維持するために必要なカバレッジをすべて掲載しています。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
1 週間のサイバーセキュリティ概況
- Microsoft Exchange のゼロデイ攻撃に対する脆弱性に関する初期のレポートで、30,000 を超える組織が影響を受ける可能性を示唆。脆弱性が公開されパッチが配布された後、攻撃者はパッチ未適用のサーバをスキャンする試みを強化しました。
- SolarWinds 社製品の脆弱性をロシアのグループが標的にしていたのと同時期に、中国の攻撃者も同じ脆弱性を標的にしていた可能性が浮上。今回の新たな発見から、米国政府機関や大企業を狙った APT 攻撃がまったく収まる気配を見せていないことがうかがわれます。
- 米国政府、今後数週間以内に SolarWinds 社製品を利用した侵害に関してロシアに報復措置を取る見込み。サイバー攻撃や経済制裁が行われる可能性もあります。
- 右派に人気のソーシャルメディアアプリ Gab でデータ漏洩が発生、機密メッセージが大量に流出したことでサイトの詳細が明るみに。漏洩した情報の中には、Gab の CEO と QAnon の陰謀説で有名な人物との間で直接交わされたメッセージもあります。
- 12 月から 1 月にかけて SolarWinds がニュースの見出しを飾っている間に、別の重大なサイバー攻撃が水面下で進行。ニュージーランドの中央銀行や食料品店チェーン Kroger などの著名な組織を標的に、SolarWinds 社製品をエクスプロイトした攻撃とはまったく別の、組織的な侵入が行われていました。
- 今なおリモートで授業を受けている学生ら、学校の試験監督システムを誰でも回避できる方法を次々に発見。サードパーティ製アプリのダウンロードが必要な場合もあれば、ビデオチャットを使用するのと同程度の簡単な方法もあります。
- FBI は今週、国家の支援を受けた攻撃グループがサイバーセキュリティへの影響力を高めるためにディープフェイク動画を導入する危険性があると警告。この種の改ざんされたビデオを見分ける一般的な方法として、ゆがみや同期の問題を見つけることなどが挙げられています。
- 最近承認されたコロナ救済法案では、米国政府のサイバーセキュリティへの取り組みに対し数百万ドルの資金を拠出。法案の条項によれば、サイバーセキュリティ インフラストラクチャ セキュリティ庁のサイバーセキュリティリスク管理プログラムに 6 億 5,000 万ドルが割り当てられる予定です。
- 米国上院、選挙のセキュリティに関する政府職員の研修に追加資金を拠出する超党派法案を提出。法案が可決されれば、州および地方の選挙管理当局とその職員に対するサイバーセキュリティ研修費の大半をまかなうことができる 100 万ドルの助成金が設けられることになります。
- F5 Networks 社、BIG-IP および BIG-IQ ソフトウェアに影響を与えるリモートコード実行の脆弱性を 4 件公開。脆弱性の CVSS 重要度スコアは、いずれも 10 点満点中0 以上です。
最近の注目すべきセキュリティ問題
件名:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、14 件の「緊急」を含む 89 件の脆弱性を公開
説明:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 89 件の脆弱性についての情報を公開しました。これは、今年に入ってから最大の件数です。重大度は 14 件が「緊急」、1 件が「低」、残りはすべて「重要」となっています。「緊急」に分類された脆弱性のうちの 3 件は、Microsoft 社が先週公開した Exchange Server の脆弱性です。同社によると、国家が支援しているグループがこの脆弱性をエクスプロイトし、電子メールを傍受していたようです。Microsoft 社は、Exchange Server の古いバージョン用のパッチもリリースすると発表しました。影響を受けるソフトウェアを使用しているすべての組織は、Exchange Server のポート 443 への外部アクセスをブロックするか、ポート 443 への外部アクセスを提供する VPN を設定する必要があります。これにより、認証・承認されたユーザのみがこのサービスに接続できるようになります。ただし、この対策は攻撃の最初の段階に対してのみ有効です。管理者は速やかに、公開されたパッチを Exchange Server の脆弱性に対して適用する必要があります。今月のセキュリティ更新プログラムでは、Exchange Server 以外にも、Azure Sphere、SharePoint ファイル共有サービス、.hevc ビデオファイル拡張子など、他のソフトウェアに対するパッチが提供されています。
Snort SID:54518、57233、57234、57241 〜 57246、57252、57253、57259 〜 57268、57269、57274 〜 57276
件名:Microsoft Exchange Server の脆弱性を狙った攻撃で HAFNIUM の存在が浮上
説明:Microsoft 社は先週、Exchange Server の重大な脆弱性を数件公開しました。同社によれば、これらの脆弱性を利用した攻撃の背後には「HAFNIUM」と呼ばれる国家の支援を受けた攻撃グループが存在するとのことです。同グループは、4 件の脆弱性をエクスプロイトして電子メールを盗み出しました。最も深刻な脆弱性は、サーバサイド リクエスト フォージェリ(SSRF)のゼロデイ脆弱性です。HAFNIUM は、今回新たに見つかった攻撃グループです。Microsoft 社によると、軍事請負業者、感染症研究機関、法律機関、教育機関、シンクタンクなどが同グループの主な標的になっているとのことです。中国を拠点とするグループである可能性が高いものの、米国でリースされている仮想プライベートサーバを利用していると同社は発表しています。HAFNIUM の存在は、Exchange Server の脆弱性のエクスプロイトで初めて知られるようになりました。Exchange Server の脆弱性が公開されたことで、今後戦略を転換する可能性があります。
Snort SID:57235 〜 57240
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:4647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57b
MD5:f37167c1e62e78b0a222b8cc18c20ba7
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.4647F1A085.in12.Talos
SHA 256:17c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2
MD5:96f8e4e2d643568cf242ff40d537cd85
一般的なファイル名:SAntivirusService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 03 月 11 日に Talos Group のブログに投稿された「Threat Source newsletter (March 11, 2021) — Featuring new SolarWinds roundtable」の抄訳です。