Cisco Japan Blog

脅威情報ニュースレター(2021 年 4 月 1 日)

1 min read



Talos 読者の皆様、こんにちは。

今週開催された Cisco Live はご満足いただけたでしょうか。セッションの内容を振り返りつつ、こちらのニュースレターもお楽しみください。 

いよいよ、Snort スカラシップの応募が始まりました。エイプリルフールのジョークではありません。応募方法はこちらpopup_iconで、応募規定についてはこちらpopup_iconからご確認ください。

ところで、ジョークでは済まされない話もあります。「Skyrim」で「きかんしゃトーマス」の MOD を使って遊ぼうとしただけなのに、騙されてマルウェアをダウンロードしたら、笑い事ではありません。Talos は、ビデオゲームの不正エンジンや「MOD」に潜むpopup_iconマルウェアキャンペーンを追跡しています。Talos のブログ記事で、この攻撃で使用されている暗号ツールのリバースエンジニアリングについて詳細に説明しています。防御に役立つはずですので、ぜひご覧ください。

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

イベント:Android マルウェアの分析:トリアージからリバースエンジニアリングまでpopup_icon

開催日:4 月 7 日午前 11 時(米国東部時間)

講演者:Vitor Ventura

概要:Talos アウトリーチ担当の Vitor Ventura が、実際に確認した最新の Android マルウェアについて無料のウェビナーで解説します。マルウェアサンプルのいくつかをリバースエンジニアリングした結果と、安全対策について説明します。文字列の難読化解除から、適切なパッチ適用、コマンド & コントロール(C2)ビーコンの検索まで、あらゆる対策を取り上げます。

1 週間のサイバーセキュリティ概況

  • 米国の情報機関、SolarWinds 社製品を利用した侵害に関する最も詳細な調査結果を公表popup_iconへ。サプライチェーン攻撃で使用されたツールについて、新たな情報が明かされる見込みです。
  • PHP のライブラリにハッキング被害popup_icon。Web サイトにバックドアを仕掛けてリモートコードの実行を可能にするコードが見つかりました。PHP の開発チームは、リポジトリを公式の Git サーバから GitHub に移行すると述べています。
  • Android のシステムアップデートを装ったpopup_icon新たなマルウェアが発見される。公式の Google Play ストアでは配布されていない模様ですが、感染すると、ユーザのデバイスが完全に乗っ取られる危険性があります。
  • オーストラリアの大手テレビ局、サイバー攻撃を受けて放送中止popup_icon。同日、オーストラリア連邦議会もコンピュータネットワークがサイバー攻撃を受けたことを発表しました。
  • 非代替性トークンに注目が集まる。一方、人気が高まったことにより、仕組みを理解していない購入者が詐欺にあったりpopup_icon、攻撃者により非代替性トークンが消されたりする被害が発生しています。
  • 国家支援のサイバー攻撃が多発して対応迫られる米バイデン政権、サイバーセキュリティの要職はいまだ空席popup_icon。議会幹部は、国家サイバー長官を早急に決定するようバイデン大統領に求めています。
  • 英国、国内のセキュリティ業界全体の標準化に向けpopup_icon、独立したサイバーセキュリティ評議会を新設。同評議会は、サイバーセキュリティの専門家や業界への参入希望者を対象とした新たなツールやリソースの開発を行います。
  • 北朝鮮が支援する脅威グループが偽のセキュリティ会社を設立popup_icon、セキュリティ研究者を誘い込む。同グループは LinkedIn で偽会社の採用担当者のプロフィールを偽造していました。
  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)、オンプレミスの Microsoft Exchange Server を使用しているすべての政府機関に、4 月 5 日までに Microsoft 社のマルウェアスキャナを実行popup_iconして結果を報告するよう要請。最近リリースされた Microsoft 社のツールを使用すれば、未検出の侵害を発見することができます。

最近の注目すべきセキュリティ問題

件名:OpenSSL で発見されたサービス拒否を引き起こす重大な脆弱性で、パッチが提供開始popup_icon

説明:OpenSSL は先週、攻撃者がサーバを完全にクラッシュする危険性のあるサービス拒否の脆弱性を公開し、パッチの提供を開始しました。攻撃者は、null ポインタの逆参照を引き起こし、細工された悪意のあるリクエストを送信して、標的のサーバをクラッシュさせる可能性があります。OpenSSL は、インターネット上で最も人気のあるソフトウェアライブラリの 1 つです。TLS や SSL 用のツールキットであり、一般的な暗号化ライブラリとして使用されています。アプリが未署名の TLS 証明書を検出して拒否するのを妨害する、別の脆弱性も修正されました。

Snort SID56942 ~ 56944、56957 ~ 56963

件名:モバイルとデスクトップデバイス用の Cisco Jabber に重大な脆弱性popup_icon

説明:シスコは、MacOS と Windows バージョンのモバイルデバイスに影響を与える Jabber メッセージングソフトウェアの複数の脆弱性を修正しました。これらの脆弱性がエクスプロイトされると権限昇格が可能となり、基盤となるオペレーティングシステムで任意のプログラムが実行される危険性があります。また、攻撃者が機密情報にアクセスしたり、保護されたネットワークトラフィックを傍受したり、サービス拒否を引き起こしたりする可能性もあります。攻撃者は、今週公開された脆弱性の 1 つをエクスプロイトするだけで、これらの悪意のあるアクションを実行できます。また、影響を受けたソフトウェアを使用している Extensible Messaging and Presence Protocol(XMPP)サーバを認証し、XMPP のメッセージを標的のシステムに送信することもできます。

Snort SID55016 〜 55018、56572、56573、56575、56576、56588 〜 56591、57351 〜 57354、57359

今週最も多く見られたマルウェアファイル

SHA 256: c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 25617c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2popup_icon

MD596f8e4e2d643568cf242ff40d537cd85

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.File.Segurazo::95.sbx.tg

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

本稿は 2021 年 04 月 01 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (April 1, 2021)popup_icon」の抄訳です。

コメントを書く