Talos 読者の皆様、こんにちは。
スパムメールや迷惑な自動音声電話については皆さんもご存知でしょう。コロナ禍の今、攻撃者はチャットルームやゲームサーバを利用してスパムを拡散するようになってきました。Talos の研究者は今週、Discord や Slack などのサイトを介して拡散する複数のマルウェアキャンペーンを公開しました。在宅勤務をする人が増える中、これらのサイトの人気が高まっています。
数週間ぶりに、Beers with Talos(Talos とビールを)が公開されました。大反響を呼ぶこと間違いなしのエピソードとなっています。番組では、リスナーから Twitter で寄せられた質問に回答しています。愉快な会話が繰り広げられた後、Craig が経験したロボットの問題の話題に移りますのでお聞き逃しなく。
1 週間のサイバーセキュリティ概況
- バイデン政権、2020 年の大統領選と、SolarWinds 社製品のセキュリティ侵害をめぐる海外からの干渉について詳細な報告書を作成したとの報道。バイデン政権はまもなく報復措置を発表すると見られています。
- SolarWinds キャンペーンを仕掛けた攻撃者、ハッキングが公表される前にセキュリティの専門家と研究者を標的にしていたことが判明。サプライチェーン攻撃の発見と対応を遅らせるのが目的だったと考えられています。
- 連邦当局、カンザス州の公共水道システムのネットワークに侵入した疑いで 22 歳の男を起訴。事件当時、男は職員として勤務しており、「人に危害を加える目的で」水道施設の清掃・消毒処理を停止したと供述しています。
- 先週、欧州連合の複数の機関がサイバー攻撃の標的に。当局は、攻撃の範囲がいまだ判明しておらず、現在も調査を行っているとの声明を出しています。
- 人気ビデオゲーム「Call of Duty:Warzone」向けのチートエンジンにドロッパーマルウェアを隠す攻撃が発見される。ゲームを開発した Activision 社は、この攻撃に関する詳細なレポートを公表しました。ドロッパーを「カスタマイズすることで、他のもっと破壊的なマルウェアが標的のマシンにインストールされる」とのことです。
- DocuSign ソフトウェアを模倣した新たなハッキングツールによるサイバー犯罪が発生。DocuSign は、重要なドキュメントの電子署名によく使用されています。
- SAP アプリケーションの重大な脆弱性を突いた攻撃が多発しているとの報道。セキュリティ研究者によると、APT グループはブルートフォースパスワード攻撃を仕掛けて標的のシステムにログインし、すでに公開されている複数の脆弱性をエクスプロイトします。場合によっては、アプリケーションが完全に制御される危険性さえあります。
- 5 億 3 千万人以上の Facebook ユーザの電話番号、氏名、電子メールなどの個人情報がインターネットに流出。Facebook 社は、データが流出した原因は同社が 2019 年にパッチを適用した公開済みの脆弱性にあると説明しています。
- Facebook 社、モデレーションの強化を発表。同社は最近、複数のトロールファーム(情報工作組織)、ディープフェイクの作成者、デマ情報を拡散するユーザのアカウントを削除したと述べています。
- 欧州の複数の製造企業が Cring ランサムウェアの標的に。攻撃者は Fortigate VPN サーバの脆弱性をエクスプロイトしてマルウェアを配布したと報道されています。
最近の注目すべきセキュリティ問題
件名:ビデオゲームのチートコードや MOD がマルウェアの隠蔽に使用されたことが判明
説明:Cisco Talos は最近、ビデオゲームのプレーヤーや PC ゲームの MOD 利用者を標的にした新たな攻撃を発見しました。複数のマルウェア攻撃を調査したところ、新たな暗号ツールを検出しました。この暗号ツールは、ビデオゲームや「MOD」(ゲームのビジュアルや内容を変える改造データ)にチートコードをインストールするためにユーザがダウンロードするファイルに隠されており、一見正規のファイルに見えます。この暗号ツールでは、Visual Basic 6 に加えてシェルコードとプロセスインジェクション技術が使用されています。さらに、難読化が幾十にも施されているため分析は困難で、Visual Basic 6 に精通していないセキュリティアナリストにとっては厄介だと言えます。ビデオゲームのプレーヤーは、ゲームの表示方法を変更するために特定のチートコードや改造(「MOD」)をダウンロードすることがあります。攻撃者はこうしたゲームツールと OS 改造ツールを利用して、マルウェアが隠されたファイルを添付することで被害者を感染させます。
ClamAV シグネチャ:Win.Trojan.VB6Crypt-9839935-0、Win.Trojan.Elzob-9839938-0、Win.Malware.Amyl6tnk-9839937-0、Win.Packed.Cerbu-9839936-0
件名:Accusoft ImageGear で任意コードを実行される脆弱性を発見
説明:Cisco Talos は最近、Accusoft ImageGear で境界外書き込みの脆弱性を複数発見しました。攻撃者はこの脆弱性をエクスプロイトして、標的のマシンのメモリを破壊する可能性があります。ImageGear ライブラリは、画像処理アプリケーションを作成するためのツールキットです。画像の変換、作成、編集、注釈追加などの機能に対応しています。DICOM、PDF、Microsoft Office など、100 種類を超える形式をサポートしています。攻撃者によって作成された悪意のあるファイルをユーザが開くと、これらの脆弱性をエクスプロイトされる危険性があります。
Snort SID:57011 〜 57018、57052、57053、57124、57125
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:17c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2
MD5:96f8e4e2d643568cf242ff40d537cd85
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
SHA 256:bfbe7022a48c6bbcddfcbf906ef9fddc02d447848579d7e5ce96c7c64fe34208
MD5:84291afce6e5cfd615b1351178d51738
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.BFBE7022A4.5A6DF6a61.auto.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 04 月 08 日に Talos Group のブログに投稿された「Threat Source Newsletter (April 8, 2021)」の抄訳です。