Talos 読者の皆様、こんにちは。
Cisco Talos インシデント対応チームがインシデント対応の動向をまとめた最新の四半期レポートでは、脅威ランドスケープについて示唆に富む内容をご紹介しています。ぜひご覧ください。今回の記事では、調査の現場で最も頻繁に確認されているマルウェアファミリと、被害者を感染させるために攻撃者が使用している戦術について取り上げています。
また、Hafnium による Microsoft Exchange Server に対するゼロデイ攻撃を Cisco Secure IPS で検出・防御する方法についてまとめた Talos ブログの新しい記事も公開されていますので、こちらもお見逃しなく。
最後は Snort に関する話題です。Snort 3 の歴史について語った新しい座談会ビデオを Talos の YouTube ページで公開しています。今回は Snort の生みの親、Marty Roesch にも参加してもらいました。Snort 3 が登場することになった背景と、今すぐアップグレードすべき理由を詳しく説明していますので、ぜひご覧ください。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
イベント:Android マルウェアの分析:トリアージからリバースエンジニアリングまで
開催日:4 月 7 日午前 11 時(米国東部時間)
講演者:Vitor Ventura
概要:Talos アウトリーチ担当の Vitor Ventura が、実際に確認した最新の Android マルウェアについて無料のウェビナーで解説します。マルウェアサンプルのいくつかをリバースエンジニアリングした結果と、安全対策について説明します。文字列の難読化解除から、適切なパッチ適用、コマンド & コントロール(C2)ビーコンの検索まで、あらゆる対策を取り上げます。
1 週間のサイバーセキュリティ概況
- 全米のサイバーセキュリティ当局、2 月に発生したフロリダ州の市の公共水道システムを狙った攻撃は、公益事業に対するサイバー攻撃の氷山の一角に過ぎないのではないかとの懸念を表明。全米の水道システムの多くでは適切なファイアウォールが導入されていません。また、使用されているソフトウェアも古く、簡単に推測できるパスワードが複数ユーザ間で共有されています。
- Google、Facebook、Twitter 各社の CEO、デマ情報の拡散に関して今週米下院公聴会で証言。テクノロジー企業が運営するプラットフォームに投稿されたコンテンツに問題があっても企業の法的責任を問わないとする連邦法の改正・撤廃案に反対する見通しです。
- サイバーセキュリティ保険最大手の CNA、サイバー攻撃を受け、自社のコンピュータの多くをネットワークから切断。同社は Web サイトで、この攻撃によってネットワークに障害が発生し、電子メールなどシステムの一部に影響が出たと発表しました。
- 英国のサイバーセキュリティ当局、対面授業が再開されればランサムウェア攻撃のリスクが高まると教育機関に警告。公示では、特にリモート デスクトップ プロトコル(RDP)を悪用した攻撃について取り上げています。
- 最近公開された Microsoft Exchange Server の脆弱性を悪用する攻撃が 1 日に何度も見られるとセキュリティ研究者が警告。Microsoft 社は今月初めに公開されたゼロデイ脆弱性の修正プログラムを提供していますが、影響を受ける製品の多くにはまだパッチが適用されていません。
- ランサムウェア「REvil」の背後に存在するグループ、ノートパソコンメーカーの Acer 社を標的に身代金 5,000 万ドルを要求。データを窃取した証拠として、財務スプレッドシートや銀行残高、金融機関とのやり取りだと主張する画像をデータ漏洩サイトに公開しました。
- Facebook 社、ソーシャル メディア プラットフォームを使用して iOS と Android 向けのマルウェアを拡散していたグループのアカウントを閉鎖したと発表。同グループは、中国で抑圧されているウイグル人に対してスパイ行為を働こうとしていました。
- Facebook 社の社内セキュリティ調査チーム、自社で使用している製品の脆弱性の調査に 2 年を費やしていたことが判明。ある調査では、概念実証として Facebook の実稼働サーバに 3 万個もの暗号通貨マイナーを実際にインストールしたとのことです。
- イスラエルで総選挙が行われた今週、何百万人ものイスラエル市民の有権者登録情報と個人情報がネット上に流出。氏名、電話番号、住所、年齢などが漏洩しました。
最近の注目すべきセキュリティ問題
件名:NETGEAR 製スイッチにリモートコード実行の脆弱性
説明:NETGEAR 社は、同社の ProSAFE Plus ネットワーキングスイッチ 2 機種における複数の脆弱性を公開しました。これらの脆弱性がエクスプロイトされると、影響を受けたデバイスで認証されていないコードが実行される危険性があります。同社は、「システムオンチップの CPU とスイッチのメモリ制約」に起因する、リスクの高い 5 件の脆弱性を修正できませんでした。ただし、これらの脆弱性がエクスプロイトされる可能性があるのは、スイッチで Plus Utility が有効になっている場合に限られます。この機能は、2019 年以降デフォルトで無効になっています。最も深刻な脆弱性の 1 つである CVE-2020-35231 が悪用されると、攻撃者が NSDP 認証をバイパスし、デバイス上で管理アクションを実行したり、設定を工場出荷時の状態にリセットして消してしまう危険性があります。
Snort SID:57332 ~ 57334
件名:F5 社の BIG-IP と BIG-IQ の脆弱性に対する攻撃が急増
説明:F5 社のデバイスで確認された重大な脆弱性に対するエクスプロイトが相次いでおり、リモートコード実行につながる危険性があります。同社は今月初めに脆弱性を公開し、パッチを提供しましたが、多くのデバイスにはまだパッチが適用されていません。エンタープライズ ネットワーキング インフラストラクチャである F5 BIG-IP と BIG-IQ には、認証されていないリモートコマンド実行の脆弱性が存在します。この脆弱性がエクスプロイトされると、システムが攻撃者に完全に乗っ取られる危険性があります。脆弱性が公開された直後に、概念実証されたエクスプロイトコードが GitHub に公開されています。セキュリティ研究者によると、攻撃者はパッチが適用されていないターゲットを物色しているとのことです。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁も週末に警告を発表し、できるだけ早くパッチを適用するようにユーザに呼びかけています。
Snort SID:57336、57337
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:5901ce0f36a875e03e4d5e13e728a2724b8eff3c61cc24eb810be3df7508997f
MD5:b8a582da0ad22721a8f66db0a7845bed
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.Auto:5901ce0f36.in03.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 03 月 25 日に Talos Group のブログに投稿された「Threat Source Newsletter (March 25, 2021)」の抄訳です。