Cisco Japan Blog

脅威情報ニュースレター(2021 年 4 月 15 日)

1 min read



Talos 読者の皆様、こんにちは。

先週のウェビナーを見逃してしまった方のために、プレゼンテーションで使用したスクリプトを含む拡大バージョンを Talos の YouTube ページpopup_iconにアップロードしました。このビデオでは、Android 型マルウェアをリバースエンジニアリングして検出する方法を解説しています。

今週は Microsoft セキュリティ更新プログラム(月例)についての記事も公開し、Microsoft Exchange Server で新たに見つかった脆弱性を取り上げています。記事の中では、ユーザをエクスプロイトから保護するために知っておくべき事項と Snort ルールについて詳しく説明しています。Cisco Talos の研究者が発見したのは Azure Sphere の脆弱性です。これらの脆弱性には、今月パッチが適用されています。詳細については、『注目の脆弱性』をご覧ください。

1 週間のサイバーセキュリティ概況

  • 米国政府が新たなレポートを公開、SolarWinds サプライチェーン攻撃へのロシアの関与を公式発表popup_icon。サイバー攻撃と 2020 年の大統領選挙への干渉の報復として、バイデン政権はロシアに対して新たな制裁を課しました。
  • 今週末、ウラン濃縮設備を有するイランの核施設でサイバー攻撃が発生popup_icon。原因は調査中ですが、攻撃により施設で停電が起きたと考えられています。
  • IBM 社の研究者、新型コロナワクチンのサプライチェーンpopup_iconがサイバー攻撃を受けていると警告。最近のフィッシングキャンペーンでは、ワクチンの配布に携わっている 44 社が標的となりました。
  • NBA チームのヒューストン・ロケッツ、ランサムウェア攻撃の標的にpopup_icon。情報の暗号化や窃取が行われたかどうかは現在のところ不明です。
  • FBI 社は今週、ゼロデイ脆弱性を突いた攻撃の被害を受けた Microsoft Exchange Server のバックドアの「コピーと削除」popup_icon作戦を開始。テキサス州連邦裁判所は、同社が Web シェルを介してサーバにコマンドを発行することを承認しました。
  • FBI が豪セキュリティ会社の協力を得て大量殺人犯の iPhone に侵入popup_iconしていたとの新たな報道。2015 年にカリフォルニア州サンバーナーディーノで発生したテロ攻撃で、犯人の一人が所有していた iPhone のロックを FBI が解除した方法は長らく不明でした。
  • Google 社が Chrome Web ブラウザの最新バージョンpopup_iconをリリース、デフォルトですべてのトラフィックに HTTP ではなく HTTPS を使用するよう変更。今回のアップデートでは 37 件のセキュリティ脆弱性も修正されています。
  • 複数の TCP/IP スタックに影響する一連の脆弱性により、多数の IoT デバイスが危険にさらされているpopup_iconとの報告。「Name:Wreck」というエクスプロイトにより、攻撃者がデバイスをリモートで無効にしたり、デバイス上でコードを実行したりする可能性があります。
  • 「C10p」と呼ばれるランサムウェアグループ、標的企業の顧客に接触して圧力をかけるよう示唆popup_icon。個人情報を盗まれた被害者は、「企業に連絡して身代金の支払いを促すように」という内容のメールを同グループから受け取っています。

最近の注目すべきセキュリティ問題

件名:Microsoft のセキュリティ更新プログラム(月例)に含まれる Exchange Server の「緊急」の脆弱性popup_icon

説明:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 108 件の脆弱性についての情報を公開しました。これは、今年に入ってから最大の件数です。セキュリティ更新プログラムには、Microsoft Exchange Server に存在する新たなリモートコード実行の脆弱性が 4 件含まれています。Microsoft 社は今年に入ってから Exchange Server のゼロデイ脆弱性を複数公開しており、攻撃者はこれらの脆弱性を実際にエクスプロイトしています。Microsoft 社が本日公開した新たな脆弱性、CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483 は、いずれも「緊急」と評価されており、最も深刻な脆弱性の CVSS 重大度スコアは 10 点中 9.8 点です。今月リリースされた脆弱性では、20 件が「緊急」、1 件が「警告」と評価されています。残りはすべて「重要」となっています。リモートプロシージャコールのランタイムには、12 件の「緊急」の脆弱性が存在します。

Snort SID57403、57404、57411、57414

件名:コラボレーション アプリケーション サーバに侵入して、スパムとマルウェアを拡散

説明:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。これらのプラットフォームは必須で安全だと考えられているため、多くのネットワーク環境ではブロックされません。攻撃者の狙いはそこにあります。RAT(リモートアクセス型トロイの木馬)、情報窃盗、IoT マルウェアなどの脅威を仕掛ける攻撃者が、配信やコンポーネントの取得、コマンドアンドコントロール(C2)通信を実行するためにコラボレーション プラットフォームを悪用しています。

ClamAV シグネチャ:Win.Trojan.AgentTesla-9846789-0、Js.Trojan.Downloader-9846867-0、Win.Dropper.Agent-9847178-0、Win.Trojan.Vebzenpak-9847193-0、Win.Trojan.Bulz-9847194-1、Win.Malware.Predator-9850360-1、Win.Trojan.Taskun-9850631-0、Win.Packed.Trojanx-9850692-0

今週最も多く見られたマルウェアファイル

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 25617c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2popup_icon

MD596f8e4e2d643568cf242ff40d537cd85

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.File.Segurazo::95.sbx.tg

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 04 月 15 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (April 15, 2021)popup_icon」の抄訳です。

 

コメントを書く