脅威情報ニュースレター(2021 年 3 月 18 日)
Talos 読者の皆様、こんにちは。
今年も Snort スカラシップの応募時期がやってきました
。ぜひ、周りの方にもご紹介ください。今年はサイバーセキュリティなどの IT 関連分野を学んでいる大学生 2 名が対象で、奨学金は一人につき 1 万ドルです。4 月 1 日から受付を開始します。お早めに応募書類を準備しましょう。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
イベント:Android マルウェアの分析:トリアージからリバースエンジニアリングまで
開催日:4 月 7 日午前 11 時(米国東部時間)
講演者:Vitor Ventura
概要:Talos アウトリーチ担当の Vitor Ventura が、実際に確認した最新の Android マルウェアについて無料のウェビナーで解説します。マルウェアサンプルのいくつかをリバースエンジニアリングした結果と、安全対策について説明します。文字列の難読化解除から、適切なパッチ適用、コマンド & コントロール(C2)ビーコンの検索まで、あらゆる対策を取り上げます。
1 週間のサイバーセキュリティ概況
- Microsoft Exchange Server のゼロデイ脆弱性が公開された後、少なくとも 6 つの APT 攻撃グループによるエクスプロイトが発覚。驚くべき偶然の一致に過ぎない可能性もありますが、おそらく前代未聞のセキュリティイベントだろうと考えられます。
- Microsoft 社、専任のセキュリティチームを持たない小規模企業や組織を支援するために、ワンクリックで脆弱性を修復できる PowerShell スクリプトをリリース。スクリプトを実行すると、サーバが影響を受けているかチェックできます。影響を受けている場合は、Microsoft Safety Scanner がダウンロードして実行され、攻撃に関連する Web シェルなどの不正スクリプトが削除されます。
- 主要な上院委員会、SolarWinds サプライチェーン攻撃を調査するため公聴会を木曜日にも新たに開催。今後同様の攻撃が起こるのを防ぐために連邦政府機関が実施している対策について、米国議会は具体的な調査を進めています。
- 複数の米当局者、SolarWinds および Microsoft Exchange のインシデントを受けて、米国のサイバーセキュリティ インフラの大幅な変更を推進。一部の計画では、民間のセキュリティ企業の参画が検討されています。
- ロシアの偽情報拡散機関、西側企業が開発した新型コロナワクチンに対する不信感を広めようと画策。こうした攻撃集団から支援を受けている偽のオンラインニュースサイトでは、ワクチンの安全性について誤った主張を行う偽のニュース記事が公開されています。
- イランとロシアの攻撃者、偽の情報や誤解を招く情報を広めて 2020 年の大統領選挙の結果を左右しようと画策したことが新たに機密解除されたレポートで判明。ただし、投票者の登録ファイルや投票数の改ざんを試みた外国の攻撃グループは存在しなかったということです。
- 上述のレポートについて米国のジョー・バイデン大統領は、選挙干渉の「代償をロシア側が払う」ことになると発言。新たな制裁措置は、早ければ来週にも発動される可能性があります。
- ヨーロッパの大型オフィスビルで発生した火災、複数の有名なハッカー集団の活動に影響。Bahamut や OceanLotus などの攻撃者グループが、サーバなどの物理インフラを火災で失った可能性があります。
- 新しい iOS リリースを分析した結果、Apple 社が機能アップデートとは別にセキュリティアップデートのリリースを開始する可能性が判明。iOS 14.5 ベータ版には、セキュリティアップデートのみをインストールするか、リリースすべてをインストールするかをユーザが選択できる設定が追加されています。
最近の注目すべきセキュリティ問題
件名:システムの完全制御を許しかねない脆弱性に関して、F5 社はパッチを適用するようユーザに勧告
説明:F5 Networks 社の BIG-IP および BIG-IQ アプリケーションには、システムの完全制御を許しかねない重大な脆弱性が複数存在します。同社は、できるだけ早くパッチを適用するようユーザに勧告しました。先週公開された複数の脆弱性がエクスプロイトされると、悪意のあるコードの実行、サービスの無効化、ファイルの操作、削除、作成などの不正操作につながる危険性があります。同社から開示された脆弱性は、緊急度「重大」が 4 件、「重要」が 7 件、「中」が 10 件です。BIG-IP および BIG-IQ は通常、ロードバランシング、アプリケーション セキュリティ、アクセス制御などのアプリケーション配信サービスの用途で導入されます。同社によると最悪のシナリオでは、BIG-IP アプライアンスの脆弱性がエクスプロイトされ、より広範なエンタープライズ ネットワークに侵入される危険性があります。
Snort SID:57298
件名:Microsoft Exchange Server のゼロデイ脆弱性に関し、Talos から新たな発見と情報を公開
説明:Microsoft Exchange Server に存在する複数のゼロデイ脆弱性が Microsoft 社から公開された後、Cisco Talos では、この悪意のあるアクティビティに関連する戦術、手法、手順(TTP)の変化を確認しています。Talos の研究者は、これらの脆弱性をエクスプロイトするハッカー集団を新たに発見しました。最初のハッカー集団「Hafnium」とは別のグループと思われ、暗号通貨マイニングキャンペーンに使用されたインフラを利用しているグループや、notepad.exe や notepad++.exe を使用して Web シェルを作成したり、アクセスを試みているグループ、そしてエクスプロイトは成功していないものの、大量のスキャンを実施しているグループなどです。また、エクスプロイト後のアクティビティへの関与が疑われる組織も特定しました。被害状況の調査によると、エクスプロイトの影響が著しく大きいのは金融サービス業界です。他にもいくつかの業種への影響が目立っていて、医療機関、教育機関、地方自治体/政府も狙われています。
Snort SID:57233 〜 57246、57251 〜 57253
ClamAV シグネチャ:
- Trojan.MSExchangeExploit-9838898-0
- Trojan.MSExchangeExploit-9838899-0
- Trojan.MSExchangeExploit-9838900-0
- Trojan.Webshell0321-9839392-0
- Trojan.Webshelljs0321-9839431-0
- Trojan.Webshell0321-9839771-0
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:5901ce0f36a875e03e4d5e13e728a2724b8eff3c61cc24eb810be3df7508997f
MD5:b8a582da0ad22721a8f66db0a7845bed
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.Auto:5901ce0f36.in03.Talos
SHA 256:4647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57b
MD5:f37167c1e62e78b0a222b8cc18c20ba7
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.4647F1A085.in12.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
Tags:本稿は 2021 年 03 月 18 日に Talos Group
