Talos 読者の皆様、こんにちは。
今週開催された Cisco Live はご満足いただけたでしょうか。セッションの内容を振り返りつつ、こちらのニュースレターもお楽しみください。
いよいよ、Snort スカラシップの応募が始まりました。エイプリルフールのジョークではありません。応募方法はこちらで、応募規定についてはこちらからご確認ください。
ところで、ジョークでは済まされない話もあります。「Skyrim」で「きかんしゃトーマス」の MOD を使って遊ぼうとしただけなのに、騙されてマルウェアをダウンロードしたら、笑い事ではありません。Talos は、ビデオゲームの不正エンジンや「MOD」に潜むマルウェアキャンペーンを追跡しています。Talos のブログ記事で、この攻撃で使用されている暗号ツールのリバースエンジニアリングについて詳細に説明しています。防御に役立つはずですので、ぜひご覧ください。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
イベント:Android マルウェアの分析:トリアージからリバースエンジニアリングまで
開催日:4 月 7 日午前 11 時(米国東部時間)
講演者:Vitor Ventura
概要:Talos アウトリーチ担当の Vitor Ventura が、実際に確認した最新の Android マルウェアについて無料のウェビナーで解説します。マルウェアサンプルのいくつかをリバースエンジニアリングした結果と、安全対策について説明します。文字列の難読化解除から、適切なパッチ適用、コマンド & コントロール(C2)ビーコンの検索まで、あらゆる対策を取り上げます。
1 週間のサイバーセキュリティ概況
- 米国の情報機関、SolarWinds 社製品を利用した侵害に関する最も詳細な調査結果を公表へ。サプライチェーン攻撃で使用されたツールについて、新たな情報が明かされる見込みです。
- PHP のライブラリにハッキング被害。Web サイトにバックドアを仕掛けてリモートコードの実行を可能にするコードが見つかりました。PHP の開発チームは、リポジトリを公式の Git サーバから GitHub に移行すると述べています。
- Android のシステムアップデートを装った新たなマルウェアが発見される。公式の Google Play ストアでは配布されていない模様ですが、感染すると、ユーザのデバイスが完全に乗っ取られる危険性があります。
- オーストラリアの大手テレビ局、サイバー攻撃を受けて放送中止。同日、オーストラリア連邦議会もコンピュータネットワークがサイバー攻撃を受けたことを発表しました。
- 非代替性トークンに注目が集まる。一方、人気が高まったことにより、仕組みを理解していない購入者が詐欺にあったり、攻撃者により非代替性トークンが消されたりする被害が発生しています。
- 国家支援のサイバー攻撃が多発して対応迫られる米バイデン政権、サイバーセキュリティの要職はいまだ空席。議会幹部は、国家サイバー長官を早急に決定するようバイデン大統領に求めています。
- 英国、国内のセキュリティ業界全体の標準化に向け、独立したサイバーセキュリティ評議会を新設。同評議会は、サイバーセキュリティの専門家や業界への参入希望者を対象とした新たなツールやリソースの開発を行います。
- 北朝鮮が支援する脅威グループが偽のセキュリティ会社を設立、セキュリティ研究者を誘い込む。同グループは LinkedIn で偽会社の採用担当者のプロフィールを偽造していました。
- 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)、オンプレミスの Microsoft Exchange Server を使用しているすべての政府機関に、4 月 5 日までに Microsoft 社のマルウェアスキャナを実行して結果を報告するよう要請。最近リリースされた Microsoft 社のツールを使用すれば、未検出の侵害を発見することができます。
最近の注目すべきセキュリティ問題
件名:OpenSSL で発見されたサービス拒否を引き起こす重大な脆弱性で、パッチが提供開始
説明:OpenSSL は先週、攻撃者がサーバを完全にクラッシュする危険性のあるサービス拒否の脆弱性を公開し、パッチの提供を開始しました。攻撃者は、null ポインタの逆参照を引き起こし、細工された悪意のあるリクエストを送信して、標的のサーバをクラッシュさせる可能性があります。OpenSSL は、インターネット上で最も人気のあるソフトウェアライブラリの 1 つです。TLS や SSL 用のツールキットであり、一般的な暗号化ライブラリとして使用されています。アプリが未署名の TLS 証明書を検出して拒否するのを妨害する、別の脆弱性も修正されました。
Snort SID:56942 ~ 56944、56957 ~ 56963
件名:モバイルとデスクトップデバイス用の Cisco Jabber に重大な脆弱性
説明:シスコは、MacOS と Windows バージョンのモバイルデバイスに影響を与える Jabber メッセージングソフトウェアの複数の脆弱性を修正しました。これらの脆弱性がエクスプロイトされると権限昇格が可能となり、基盤となるオペレーティングシステムで任意のプログラムが実行される危険性があります。また、攻撃者が機密情報にアクセスしたり、保護されたネットワークトラフィックを傍受したり、サービス拒否を引き起こしたりする可能性もあります。攻撃者は、今週公開された脆弱性の 1 つをエクスプロイトするだけで、これらの悪意のあるアクションを実行できます。また、影響を受けたソフトウェアを使用している Extensible Messaging and Presence Protocol(XMPP)サーバを認証し、XMPP のメッセージを標的のシステムに送信することもできます。
Snort SID:55016 〜 55018、56572、56573、56575、56576、56588 〜 56591、57351 〜 57354、57359
今週最も多く見られたマルウェアファイル
SHA 256: c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:17c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2
MD5:96f8e4e2d643568cf242ff40d537cd85
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 04 月 01 日に Talos Group のブログに投稿された「Threat Source Newsletter (April 1, 2021)」の抄訳です。