Cisco Japan Blog

脅威情報ニュースレター(2021 年 4 月 8 日)

1 min read



Talos 読者の皆様、こんにちは。

スパムメールや迷惑な自動音声電話については皆さんもご存知でしょう。コロナ禍の今、攻撃者はチャットルームやゲームサーバを利用してスパムを拡散popup_iconするようになってきました。Talos の研究者は今週、Discord や Slack などのサイトを介して拡散する複数のマルウェアキャンペーンを公開しました。在宅勤務をする人が増える中、これらのサイトの人気が高まっています。

数週間ぶりに、Beers with Talos(Talos とビールを)popup_iconが公開されました。大反響を呼ぶこと間違いなしのエピソードとなっています。番組では、リスナーから Twitter で寄せられた質問に回答しています。愉快な会話が繰り広げられた後、Craig が経験したロボットの問題の話題に移りますのでお聞き逃しなく。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

件名:ビデオゲームのチートコードや MOD がマルウェアの隠蔽に使用されたことが判明popup_icon

説明:Cisco Talos は最近、ビデオゲームのプレーヤーや PC ゲームの MOD 利用者を標的にした新たな攻撃を発見しました。複数のマルウェア攻撃を調査したところ、新たな暗号ツールを検出しました。この暗号ツールは、ビデオゲームや「MOD」(ゲームのビジュアルや内容を変える改造データ)にチートコードをインストールするためにユーザがダウンロードするファイルに隠されており、一見正規のファイルに見えます。この暗号ツールでは、Visual Basic 6 に加えてシェルコードとプロセスインジェクション技術が使用されています。さらに、難読化が幾十にも施されているため分析は困難で、Visual Basic 6 に精通していないセキュリティアナリストにとっては厄介だと言えます。ビデオゲームのプレーヤーは、ゲームの表示方法を変更するために特定のチートコードや改造(「MOD」)をダウンロードすることがあります。攻撃者はこうしたゲームツールと OS 改造ツールを利用して、マルウェアが隠されたファイルを添付することで被害者を感染させます。

ClamAV シグネチャ:Win.Trojan.VB6Crypt-9839935-0、Win.Trojan.Elzob-9839938-0、Win.Malware.Amyl6tnk-9839937-0、Win.Packed.Cerbu-9839936-0

件名:Accusoft ImageGear で任意コードを実行される脆弱性を発見

説明:Cisco Talos は最近、Accusoft ImageGear で境界外書き込みの脆弱性を複数発見しました。攻撃者はこの脆弱性をエクスプロイトして、標的のマシンのメモリを破壊する可能性があります。ImageGear ライブラリは、画像処理アプリケーションを作成するためのツールキットです。画像の変換、作成、編集、注釈追加などの機能に対応しています。DICOM、PDF、Microsoft Office など、100 種類を超える形式をサポートしています。攻撃者によって作成された悪意のあるファイルをユーザが開くと、これらの脆弱性をエクスプロイトされる危険性があります。

Snort SID57011 〜 57018、57052、57053、57124、57125

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 25617c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2popup_icon

MD596f8e4e2d643568cf242ff40d537cd85

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.File.Segurazo::95.sbx.tg

SHA 256bfbe7022a48c6bbcddfcbf906ef9fddc02d447848579d7e5ce96c7c64fe34208popup_icon

MD584291afce6e5cfd615b1351178d51738

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigatorBrowser

検出名:W32.BFBE7022A4.5A6DF6a61.auto.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

本稿は 2021 年 04 月 08 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (April 8, 2021)popup_icon」の抄訳です。

コメントを書く