Cisco Japan Blog

脅威情報ニュースレター(2021 年 3 月 25 日)

1 min read



Talos 読者の皆様、こんにちは。

Cisco Talos インシデント対応チームがインシデント対応の動向をまとめた最新の四半期レポートpopup_iconでは、脅威ランドスケープについて示唆に富む内容をご紹介しています。ぜひご覧ください。今回の記事では、調査の現場で最も頻繁に確認されているマルウェアファミリと、被害者を感染させるために攻撃者が使用している戦術について取り上げています。 

また、Hafnium による Microsoft Exchange Server に対するゼロデイ攻撃Cisco Secure IPS で検出・防御する方法についてまとめた Talos ブログの新しい記事も公開されていますので、こちらもお見逃しなく。

最後は Snort に関する話題です。Snort 3 の歴史について語った新しい座談会ビデオpopup_iconTalos の YouTube ページpopup_iconで公開しています。今回は Snort の生みの親、Marty Roesch にも参加してもらいました。Snort 3 が登場することになった背景と、今すぐアップグレードすべき理由を詳しく説明していますので、ぜひご覧ください。

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

イベント:Android マルウェアの分析:トリアージからリバースエンジニアリングまでpopup_icon

開催日:4 月 7 日午前 11 時(米国東部時間)

講演者:Vitor Ventura

概要:Talos アウトリーチ担当の Vitor Ventura が、実際に確認した最新の Android マルウェアについて無料のウェビナーで解説します。マルウェアサンプルのいくつかをリバースエンジニアリングした結果と、安全対策について説明します。文字列の難読化解除から、適切なパッチ適用、コマンド & コントロール(C2)ビーコンの検索まで、あらゆる対策を取り上げます。

1 週間のサイバーセキュリティ概況

  • 全米のサイバーセキュリティ当局、2 月に発生したフロリダ州の市の公共水道システムを狙った攻撃popup_iconは、公益事業に対するサイバー攻撃の氷山の一角に過ぎないのではないかとの懸念を表明。全米の水道システムの多くでは適切なファイアウォールが導入されていません。また、使用されているソフトウェアも古く、簡単に推測できるパスワードが複数ユーザ間で共有されています。
  • Google、Facebook、Twitter 各社の CEO、デマ情報の拡散に関して今週米下院公聴会で証言popup_icon。テクノロジー企業が運営するプラットフォームに投稿されたコンテンツに問題があっても企業の法的責任を問わないとする連邦法の改正・撤廃案に反対する見通しです。
  • サイバーセキュリティ保険最大手の CNA、サイバー攻撃を受け、自社のコンピュータの多くをネットワークから切断popup_icon。同社は Web サイトで、この攻撃によってネットワークに障害が発生し、電子メールなどシステムの一部に影響が出たと発表しました。
  • 英国のサイバーセキュリティ当局、対面授業が再開されればランサムウェア攻撃のリスクが高まるpopup_iconと教育機関に警告。公示では、特にリモート デスクトップ プロトコル(RDP)を悪用した攻撃について取り上げています。
  • 最近公開された Microsoft Exchange Server の脆弱性を悪用する攻撃popup_iconが 1 日に何度も見られるとセキュリティ研究者が警告。Microsoft 社は今月初めに公開されたゼロデイ脆弱性の修正プログラムを提供していますが、影響を受ける製品の多くにはまだパッチが適用されていません。
  • ランサムウェア「REvil」の背後に存在するグループ、ノートパソコンメーカーの Acer 社を標的popup_iconに身代金 5,000 万ドルを要求。データを窃取した証拠として、財務スプレッドシートや銀行残高、金融機関とのやり取りだと主張する画像をデータ漏洩サイトに公開しました。
  • Facebook 社、ソーシャル メディア プラットフォームを使用して iOS と Android 向けのマルウェアを拡散していたグループのアカウントを閉鎖popup_iconしたと発表。同グループは、中国で抑圧されているウイグル人に対してスパイ行為を働こうとしていました。
  • Facebook 社の社内セキュリティ調査チーム、自社で使用している製品の脆弱性の調査popup_iconに 2 年を費やしていたことが判明。ある調査では、概念実証として Facebook の実稼働サーバに 3 万個もの暗号通貨マイナーを実際にインストールしたとのことです。
  • イスラエルで総選挙が行われた今週、何百万人ものイスラエル市民の有権者登録情報と個人情報がネット上に流出popup_icon。氏名、電話番号、住所、年齢などが漏洩しました。

最近の注目すべきセキュリティ問題

件名:NETGEAR 製スイッチにリモートコード実行の脆弱性popup_icon

説明:NETGEAR 社は、同社の ProSAFE Plus ネットワーキングスイッチ 2 機種における複数の脆弱性を公開しました。これらの脆弱性がエクスプロイトされると、影響を受けたデバイスで認証されていないコードが実行される危険性があります。同社は、「システムオンチップの CPU とスイッチのメモリ制約」に起因する、リスクの高い 5 件の脆弱性を修正できませんでした。ただし、これらの脆弱性がエクスプロイトされる可能性があるのは、スイッチで Plus Utility が有効になっている場合に限られます。この機能は、2019 年以降デフォルトで無効になっています。最も深刻な脆弱性の 1 つである CVE-2020-35231 が悪用されると、攻撃者が NSDP 認証をバイパスし、デバイス上で管理アクションを実行したり、設定を工場出荷時の状態にリセットして消してしまう危険性があります。

Snort SID57332 ~ 57334

 

件名:F5 社の BIG-IP と BIG-IQ の脆弱性に対する攻撃が急増popup_icon

説明:F5 社のデバイスで確認された重大な脆弱性に対するエクスプロイトが相次いでおり、リモートコード実行につながる危険性があります。同社は今月初めに脆弱性を公開し、パッチを提供しましたが、多くのデバイスにはまだパッチが適用されていません。エンタープライズ ネットワーキング インフラストラクチャである F5 BIG-IP と BIG-IQ には、認証されていないリモートコマンド実行の脆弱性が存在します。この脆弱性がエクスプロイトされると、システムが攻撃者に完全に乗っ取られる危険性があります。脆弱性が公開された直後に、概念実証されたエクスプロイトコードが GitHub に公開されています。セキュリティ研究者によると、攻撃者はパッチが適用されていないターゲットを物色しているとのことです。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁も週末に警告を発表し、できるだけ早くパッチを適用するようにユーザに呼びかけています。

Snort SID57336、57337

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

 

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

 

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 2565901ce0f36a875e03e4d5e13e728a2724b8eff3c61cc24eb810be3df7508997fpopup_icon

MD5b8a582da0ad22721a8f66db0a7845bed

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.Auto:5901ce0f36.in03.Talos

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 03 月 25 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (March 25, 2021)popup_icon」の抄訳です。

コメントを書く