Cisco Japan Blog

脅威情報ニュースレター(2021 年 5 月 13 日)

1 min read



Talos 読者の皆様、こんにちは。

先週金曜日に公開したニュースを見逃した方のために、Lemon Duck 暗号通貨マイナーについての最新情報をご紹介します。Lemon Duck は、今話題となっているランサムウェア攻撃ほど目立つ存在ではありません。しかし、この暗号通貨マイナーが Microsoft Exchange サーバをエクスプロイトしたことから、パッチ適用が引き続き重要であることがわかります。また、暗号通貨を狙った攻撃が今後もさらに発生する可能性があることを示唆しています。

パッチといえば、Microsoft 製品の更新がまだ済んでいない方は、今すぐ更新することをお勧めします。今月のセキュリティ更新プログラム(月例)には、ワーム化可能な HTTP プロトコルスタックの脆弱性に対するパッチが含まれています。この脆弱性の重大度スコアは 10 点中 9.8 点です。もちろん、どのような脆弱性でも必ずパッチを当てる必要があります。ただ今回の更新プログラムの中で、この脆弱性についてはほぼ誰もが話題に上げています。

今後予定されている Talos の公開イベント

イベント:Cisco Secure at RSA 2021popup_icon

開催日:5 月 17 日 〜 20 日

概要:RSA Conference 2021 のシスコの仮想ブースにお越しください。開催期間中は Talos の研究者やインシデント対応担当者のオンデマンドトークが配信されます。またカンファレンス終了後でも、有効なバーチャルバッジをお持ちであればご視聴いただけます。

イベント:Snort 3 and me(パート 2)popup_icon

開催日:5 月 25 日午前 11 時(米国東部時間)

概要:次世代 IPS である Snort 3 の基本事項を改めてご説明します。是非ともご参加ください。今回も Alex Tatistcheff が Cisco IPS の内部運用について解説します。まだ Snort 3 にアップグレードしていないお客様にとって最適なイベントです。Snort 3 の詳細については、Snort.orgpopup_iconをご覧ください。

1 週間のサイバーセキュリティ概況

  • ランサムウェア攻撃の被害を受けたpopup_icon米国東部の石油製品の多くを供給する Colonial Pipeline 社、今週から徐々にパイプラインを再開。パイプラインを操業する同社によれば、「製品のデリバリサプライチェーンが正常に戻るまで数日かかる」とのことです。
  • FBI、Colonial Pipeline 社に対する攻撃の背後にいるのはランサムウェアグループの DarkSidepopup_icon であると即座に特定。DarkSide を使う攻撃者グループは声明の中で、自分たちは政治問題とは関わりがなく、活動の動機は完全に金銭目的であると主張しています。
  • 米国大統領が新たな大統領令を発出popup_icon、情報共有の障壁を減らして新基準を制定し、米国のサイバーセキュリティの改善を図る。また、この大統領令により、新たにサイバーセキュリティ安全審査委員会(Cybersecurity Safety Review Board)が設立されることになりました。
  • 英国の国民保健サービス(National Health Service)は、世界中の医療システムを混乱させた 2017 年の WannaCry 攻撃の最大の標的の 1 つ。NHS は現在、このインシデントから学んだ教訓を活かし、他の病院がサイバー攻撃に備えるための支援popup_iconをしています。
  • サイバー攻撃グループ、身代金要求に続き、ワシントンC. の警察官 22 人の情報を漏洩popup_icon。最近のサイバー攻撃により法執行機関の機密ファイルが侵害されており、最初のファイルが 2 週間前に公開されました。
  • GPU メーカーの MSI 社、攻撃者が偽のオーバークロック ソフトウェアを使用してマルウェアを拡散しているpopup_iconとユーザに警告。攻撃者は MSI の Web サイトを偽装しており、MSI のソフトウェア Afterburner のダウンロードを装ってマルウェアのダウンロードを提供します。
  • MIT の新しい調査により、ソーシャルメディアのユーザが他のユーザが広めている偽情報を訂正すると、実際にはさらなる偽情報の拡散を招くpopup_iconことが判明。研究者の発見したところでは、直接訂正するのではなく、「正確性に目を向けるよう促すナッジ」クイズとしてユーザにランダムな見出しの正確性を判断してもらう方がより効果的でした。
  • Microsoft 社の CISO、パスワードレスセキュリティへの切り替えが無事完了したと喧伝popup_icon。Bret Arsenault 氏はインタビューで、Microsoft 社の従業員の 90% がパスワードなしで社内ネットワークにアクセスできるようになっていると述べています。
  • Adobe 社、実際にエクスプロイトされている脆弱性にパッチを適用popup_icon。Adobe Acrobat Reader に存在する脆弱性により、任意のコードが実行される危険性がありました。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、HTTP プロトコルスタックにおけるワーム化可能なリモートコード実行の脆弱性を修正

説明:Microsoft 社は月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 55 件の脆弱性についての情報を公開しました。これは、2020 年 1 月以降、最も少ない件数です。今月修正された「緊急」の脆弱性は 3 件のみで、2 件が「警告」、残りは「重要」です。しかし Microsoft 社によると、「緊急」と評価された 3 件の脆弱性すべてが、エクスプロイトされる「可能性が高い」とのことです。今月のセキュリティ更新プログラムでは、Microsoft Office、SharePoint、Windows ワイヤレスネットワークなどの主要なソフトウェアにもパッチが提供されています。最も深刻な脆弱性は、HTTP プロトコルスタックに存在します。認証されていない攻撃者が、スタックを利用している標的のサーバに細工されたパケットを送信することで CVE-2021-31166 をエクスプロイトする可能性があります。攻撃者がエクスプロイトに成功すると、標的のサーバでリモートコードを実行できるようになります。Microsoft 社によると、この脆弱性はワーム化可能であり、同社は「影響を受けるサーバへのパッチ適用を優先することを推奨」しています。CVSS 重大度スコアは 10 点中 9.8 点です。

Snort SID57539、57540、57542 ~ 57545、57548 ~ 57550

件名:シスコ、企業ネットワークを危険にさらす重大度「緊急」の脆弱性を公開popup_icon

説明:シスコは最近、SD-WAN vManage ソフトウェアと HyperFlex HX プラットフォームに存在する重大度「緊急」と評価された 3 件のセキュリティ脆弱性にパッチを適用しました。パッチ未適用の場合、脆弱性をエクスプロイトし、該当ソフトウェアを使用している企業ネットワークを完全に乗っ取ることができる可能性があります。vManage は、広範な SD-WAN 内のあらゆるデバイスやリンクを監視、設定できるネットワーク管理システムです。一連の脆弱性の中で最も深刻なものは CVE-2021-1468 で、CVSS 重大度スコアは 10 点中 9.8 点です。細工された入力をサービスに送信して脆弱性をエクスプロイトすれば、最終的に侵害を受けたシステムで特権アクションを呼び出せる可能性があります。また、管理者レベルのアカウントを新規作成することもできます。

Snort SID57527 〜 57530、57535 〜 57538

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon 

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 2565e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6afpopup_icon 

MD50a13d106fa3997a0c911edd5aa0e147a

一般的なファイル名:mg20201223-1.exe

偽装名:なし

検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 05 月 13 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (May 13, 2021)popup_icon」の抄訳です。

 

コメントを書く