脅威情報ニュースレター(2021 年 4 月 29 日)
Talos 読者の皆様、こんにちは。
ランサムウェアは単なる金銭目的の脅迫ではありません。ビジネスの垣根、学術的、地理的な境界を超えた犯罪です。Talos はランサムウェア攻撃に対抗するための国際組織「Ransomware Task Force」が新たに発表したレポート
の作成に協力できたことを誇りに思っています。同レポートにはランサムウェア攻撃の影響を緩和するために進むべき道が示されています。これは Talos の研究者と世界中のサイバーセキュリティのパートナーによる大規模な取り組みであり、ご一読をお勧めします。
レポートを読むよりも視聴したいという方のために、今週初めに YouTube に LinkedIn Live ビデオの録画をアップロードしました。Talos アウトリーチチームの Martin Lee とセキュリティブロガーの Graham Cluley が、現在の(そして今後も続く可能性の高い)在宅勤務中のサイバーセキュリティの脅威について議論しています。
1 週間のサイバーセキュリティ概況
- バイデン米大統領、2 兆ドル規模のインフラ投資計画を発表。セキュリティ専門家は、新たなすべてのインフラにはセキュリティ確保の課題が残されていると述べています。
- バイデン大統領、連邦政府との契約締結前に企業が満たす必要があるサイバーセキュリティの新基準を定める新たな大統領令を検討中。これは、SolarWinds サプライチェーン攻撃を受け、政府が行っている継続的な取り組みの一環です。
- Apple 社の AirDrop 機能に、ユーザの個人情報を誰でも閲覧できる脆弱性を研究者が発見。AirDrop のトランザクション中にユーザのデバイスが送信する SHA-256 ハッシュに基づいてユーザの電話番号を推測するブルートフォース攻撃が実行される危険性があります。
- 豪ソフトウェア開発会社のパスワード管理ソフト「Passwordstate」、ユーザのパスワード漏洩につながるサプライチェーン攻撃の被害に。同社は世界中の顧客に、保存されているすべてのパスワードを変更するよう警告を出しました。
- Apple 社の iOS の最新バージョンが待望のプライバシー機能を搭載。サードパーティ製のアプリが使用状況を追跡する機能をユーザがオプトアウトして無効にし、第三者に情報が販売されないようにすることができます。今回のアップデートではいくつかの脆弱性も修正されています。
- 攻撃集団がワシントン DC の警察を脅迫、5 人の現役・退役警察官の個人情報が漏洩。流出した情報の中には、逮捕歴、ポリグラフ検査の結果、職歴が含まれています。
- 最近発見された Linux を標的としたバックドア、数年にわたり秘密裏に活動していたことが判明。「RotaJakiro」はいまだにウイルス対策エンジンによって検出されないため、攻撃者は大量のデータを盗み出すことができます。
- APT(高度サイバー攻撃)グループが米企業のネットワーク上で SolarWinds Orion プラットフォームをエクスプロイト、正規のテレワーク従業員を装う。同グループは、偵察、データ搾取、ドメインマッピングを行うために、「Supernova」と呼ばれるバックドアを設置しました。
- 医療システム企業がサイバー攻撃を受け、米国で一部のがん治療に遅れが生じる事態に。今月初め、全米の 40 を超える医療機関で放射線治療の提供が中断されました。
- 仮想通貨の保管にハードウェアウォレットを使用するユーザが増加。米国内国歳入庁(IRS)は犯罪捜査目的でハードウェアウォレットに侵入できるよう、アクセス方法を検討しています。
最近の注目すべきセキュリティ問題
件名:攻撃者が Pulse Secure VPN サービスの複数の重大な脆弱性をエクスプロイト
説明:Pulse Secure 社は最新のセキュリティアドバイザリで、同社の VPN サービス「Pulse Secure Connect」に重大な脆弱性(CVE-2021-22893)が発見されたことを発表しました。アドバイザリの内容は次のとおりです。「Pulse Connect Secure(PCS)で脆弱性が発見されました。これには認証バイパスの脆弱性が含まれており、認証されていないユーザがリモートから任意のファイルを Pulse Connect Secure ゲートウェイで実行できます。この脆弱性の CVSS スコアは高く、導入環境に重大なリスクをもたらします」。同社はこのアドバイザリを開示するとともに、脆弱性が実際にエクスプロイトされたことを示すブログ記事を公開しました。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)も、今回発見された脆弱性に関する警告を発表しました。その中で CISA は 2020 年 6 月まで遡り、複数の政府機関、主要なインフラ機関、民間組織に属するネットワークが侵害された事実について言及しています。
Snort SID:51288、51289、51390、57452 ~ 57459、57461 ~ 57468
説明:新しいレポートによると、コロナ禍に乗じたマルウェア攻撃の数は、米国でパンデミックが発生してから 1 年以上経過した今も増加し続けています。最新データでは、新型コロナ関連のサイバー攻撃の検出数は 2020 年第 3 四半期に 240% 増、同第 4 四半期に 114% 増となっています。これらの攻撃では、攻撃者の多くが権限昇格の手法を利用してランサムウェアなどの脅威を拡散させました。攻撃に使用されたのは、PowerShell や、Remcos などのリモートアクセス型トロイの木馬です。国家が支援する複数の攻撃グループの関与も確認されています。
Snort SID:57431
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:3bc24c618151b74ebffb9fbdaf89569fadcce6682584088fde222685079f7bb9
MD5:d709ea22945c98782dc69e996a98d643
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Auto:3bc24c6181.in03.Talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:17c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2
MD5:96f8e4e2d643568cf242ff40d537cd85
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 04 月 29 日に Talos Group
Tags:
