Talos 読者の皆様、こんにちは。
先週のウェビナーを見逃してしまった方のために、プレゼンテーションで使用したスクリプトを含む拡大バージョンを Talos の YouTube ページにアップロードしました。このビデオでは、Android 型マルウェアをリバースエンジニアリングして検出する方法を解説しています。
今週は Microsoft セキュリティ更新プログラム(月例)についての記事も公開し、Microsoft Exchange Server で新たに見つかった脆弱性を取り上げています。記事の中では、ユーザをエクスプロイトから保護するために知っておくべき事項と Snort ルールについて詳しく説明しています。Cisco Talos の研究者が発見したのは Azure Sphere の脆弱性です。これらの脆弱性には、今月パッチが適用されています。詳細については、『注目の脆弱性』をご覧ください。
1 週間のサイバーセキュリティ概況
- 米国政府が新たなレポートを公開、SolarWinds サプライチェーン攻撃へのロシアの関与を公式発表。サイバー攻撃と 2020 年の大統領選挙への干渉の報復として、バイデン政権はロシアに対して新たな制裁を課しました。
- 今週末、ウラン濃縮設備を有するイランの核施設でサイバー攻撃が発生。原因は調査中ですが、攻撃により施設で停電が起きたと考えられています。
- IBM 社の研究者、新型コロナワクチンのサプライチェーンがサイバー攻撃を受けていると警告。最近のフィッシングキャンペーンでは、ワクチンの配布に携わっている 44 社が標的となりました。
- NBA チームのヒューストン・ロケッツ、ランサムウェア攻撃の標的に。情報の暗号化や窃取が行われたかどうかは現在のところ不明です。
- FBI 社は今週、ゼロデイ脆弱性を突いた攻撃の被害を受けた Microsoft Exchange Server のバックドアの「コピーと削除」作戦を開始。テキサス州連邦裁判所は、同社が Web シェルを介してサーバにコマンドを発行することを承認しました。
- FBI が豪セキュリティ会社の協力を得て大量殺人犯の iPhone に侵入していたとの新たな報道。2015 年にカリフォルニア州サンバーナーディーノで発生したテロ攻撃で、犯人の一人が所有していた iPhone のロックを FBI が解除した方法は長らく不明でした。
- Google 社が Chrome Web ブラウザの最新バージョンをリリース、デフォルトですべてのトラフィックに HTTP ではなく HTTPS を使用するよう変更。今回のアップデートでは 37 件のセキュリティ脆弱性も修正されています。
- 複数の TCP/IP スタックに影響する一連の脆弱性により、多数の IoT デバイスが危険にさらされているとの報告。「Name:Wreck」というエクスプロイトにより、攻撃者がデバイスをリモートで無効にしたり、デバイス上でコードを実行したりする可能性があります。
- 「C10p」と呼ばれるランサムウェアグループ、標的企業の顧客に接触して圧力をかけるよう示唆。個人情報を盗まれた被害者は、「企業に連絡して身代金の支払いを促すように」という内容のメールを同グループから受け取っています。
最近の注目すべきセキュリティ問題
件名:Microsoft のセキュリティ更新プログラム(月例)に含まれる Exchange Server の「緊急」の脆弱性
説明:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 108 件の脆弱性についての情報を公開しました。これは、今年に入ってから最大の件数です。セキュリティ更新プログラムには、Microsoft Exchange Server に存在する新たなリモートコード実行の脆弱性が 4 件含まれています。Microsoft 社は今年に入ってから Exchange Server のゼロデイ脆弱性を複数公開しており、攻撃者はこれらの脆弱性を実際にエクスプロイトしています。Microsoft 社が本日公開した新たな脆弱性、CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483 は、いずれも「緊急」と評価されており、最も深刻な脆弱性の CVSS 重大度スコアは 10 点中 9.8 点です。今月リリースされた脆弱性では、20 件が「緊急」、1 件が「警告」と評価されています。残りはすべて「重要」となっています。リモートプロシージャコールのランタイムには、12 件の「緊急」の脆弱性が存在します。
Snort SID:57403、57404、57411、57414
件名:コラボレーション アプリケーション サーバに侵入して、スパムとマルウェアを拡散
説明:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。これらのプラットフォームは必須で安全だと考えられているため、多くのネットワーク環境ではブロックされません。攻撃者の狙いはそこにあります。RAT(リモートアクセス型トロイの木馬)、情報窃盗、IoT マルウェアなどの脅威を仕掛ける攻撃者が、配信やコンポーネントの取得、コマンドアンドコントロール(C2)通信を実行するためにコラボレーション プラットフォームを悪用しています。
ClamAV シグネチャ:Win.Trojan.AgentTesla-9846789-0、Js.Trojan.Downloader-9846867-0、Win.Dropper.Agent-9847178-0、Win.Trojan.Vebzenpak-9847193-0、Win.Trojan.Bulz-9847194-1、Win.Malware.Predator-9850360-1、Win.Trojan.Taskun-9850631-0、Win.Packed.Trojanx-9850692-0
今週最も多く見られたマルウェアファイル
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:17c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2
MD5:96f8e4e2d643568cf242ff40d537cd85
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 04 月 15 日に Talos Group のブログに投稿された「Threat Source Newsletter (April 15, 2021)」の抄訳です。