Talos 読者の皆様、こんにちは。
先週金曜日に公開したニュースを見逃した方のために、Lemon Duck 暗号通貨マイナーについての最新情報をご紹介します。Lemon Duck は、今話題となっているランサムウェア攻撃ほど目立つ存在ではありません。しかし、この暗号通貨マイナーが Microsoft Exchange サーバをエクスプロイトしたことから、パッチ適用が引き続き重要であることがわかります。また、暗号通貨を狙った攻撃が今後もさらに発生する可能性があることを示唆しています。
パッチといえば、Microsoft 製品の更新がまだ済んでいない方は、今すぐ更新することをお勧めします。今月のセキュリティ更新プログラム(月例)には、ワーム化可能な HTTP プロトコルスタックの脆弱性に対するパッチが含まれています。この脆弱性の重大度スコアは 10 点中 9.8 点です。もちろん、どのような脆弱性でも必ずパッチを当てる必要があります。ただ今回の更新プログラムの中で、この脆弱性についてはほぼ誰もが話題に上げています。
今後予定されている Talos の公開イベント
開催日:5 月 17 日 〜 20 日
概要:RSA Conference 2021 のシスコの仮想ブースにお越しください。開催期間中は Talos の研究者やインシデント対応担当者のオンデマンドトークが配信されます。またカンファレンス終了後でも、有効なバーチャルバッジをお持ちであればご視聴いただけます。
開催日:5 月 25 日午前 11 時(米国東部時間)
概要:次世代 IPS である Snort 3 の基本事項を改めてご説明します。是非ともご参加ください。今回も Alex Tatistcheff が Cisco IPS の内部運用について解説します。まだ Snort 3 にアップグレードしていないお客様にとって最適なイベントです。Snort 3 の詳細については、Snort.orgをご覧ください。
1 週間のサイバーセキュリティ概況
- ランサムウェア攻撃の被害を受けた米国東部の石油製品の多くを供給する Colonial Pipeline 社、今週から徐々にパイプラインを再開。パイプラインを操業する同社によれば、「製品のデリバリサプライチェーンが正常に戻るまで数日かかる」とのことです。
- FBI、Colonial Pipeline 社に対する攻撃の背後にいるのはランサムウェアグループの DarkSide であると即座に特定。DarkSide を使う攻撃者グループは声明の中で、自分たちは政治問題とは関わりがなく、活動の動機は完全に金銭目的であると主張しています。
- 米国大統領が新たな大統領令を発出、情報共有の障壁を減らして新基準を制定し、米国のサイバーセキュリティの改善を図る。また、この大統領令により、新たにサイバーセキュリティ安全審査委員会(Cybersecurity Safety Review Board)が設立されることになりました。
- 英国の国民保健サービス(National Health Service)は、世界中の医療システムを混乱させた 2017 年の WannaCry 攻撃の最大の標的の 1 つ。NHS は現在、このインシデントから学んだ教訓を活かし、他の病院がサイバー攻撃に備えるための支援をしています。
- サイバー攻撃グループ、身代金要求に続き、ワシントンC. の警察官 22 人の情報を漏洩。最近のサイバー攻撃により法執行機関の機密ファイルが侵害されており、最初のファイルが 2 週間前に公開されました。
- GPU メーカーの MSI 社、攻撃者が偽のオーバークロック ソフトウェアを使用してマルウェアを拡散しているとユーザに警告。攻撃者は MSI の Web サイトを偽装しており、MSI のソフトウェア Afterburner のダウンロードを装ってマルウェアのダウンロードを提供します。
- MIT の新しい調査により、ソーシャルメディアのユーザが他のユーザが広めている偽情報を訂正すると、実際にはさらなる偽情報の拡散を招くことが判明。研究者の発見したところでは、直接訂正するのではなく、「正確性に目を向けるよう促すナッジ」クイズとしてユーザにランダムな見出しの正確性を判断してもらう方がより効果的でした。
- Microsoft 社の CISO、パスワードレスセキュリティへの切り替えが無事完了したと喧伝。Bret Arsenault 氏はインタビューで、Microsoft 社の従業員の 90% がパスワードなしで社内ネットワークにアクセスできるようになっていると述べています。
- Adobe 社、実際にエクスプロイトされている脆弱性にパッチを適用。Adobe Acrobat Reader に存在する脆弱性により、任意のコードが実行される危険性がありました。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、HTTP プロトコルスタックにおけるワーム化可能なリモートコード実行の脆弱性を修正
説明:Microsoft 社は月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 55 件の脆弱性についての情報を公開しました。これは、2020 年 1 月以降、最も少ない件数です。今月修正された「緊急」の脆弱性は 3 件のみで、2 件が「警告」、残りは「重要」です。しかし Microsoft 社によると、「緊急」と評価された 3 件の脆弱性すべてが、エクスプロイトされる「可能性が高い」とのことです。今月のセキュリティ更新プログラムでは、Microsoft Office、SharePoint、Windows ワイヤレスネットワークなどの主要なソフトウェアにもパッチが提供されています。最も深刻な脆弱性は、HTTP プロトコルスタックに存在します。認証されていない攻撃者が、スタックを利用している標的のサーバに細工されたパケットを送信することで CVE-2021-31166 をエクスプロイトする可能性があります。攻撃者がエクスプロイトに成功すると、標的のサーバでリモートコードを実行できるようになります。Microsoft 社によると、この脆弱性はワーム化可能であり、同社は「影響を受けるサーバへのパッチ適用を優先することを推奨」しています。CVSS 重大度スコアは 10 点中 9.8 点です。
Snort SID:57539、57540、57542 ~ 57545、57548 ~ 57550
件名:シスコ、企業ネットワークを危険にさらす重大度「緊急」の脆弱性を公開
説明:シスコは最近、SD-WAN vManage ソフトウェアと HyperFlex HX プラットフォームに存在する重大度「緊急」と評価された 3 件のセキュリティ脆弱性にパッチを適用しました。パッチ未適用の場合、脆弱性をエクスプロイトし、該当ソフトウェアを使用している企業ネットワークを完全に乗っ取ることができる可能性があります。vManage は、広範な SD-WAN 内のあらゆるデバイスやリンクを監視、設定できるネットワーク管理システムです。一連の脆弱性の中で最も深刻なものは CVE-2021-1468 で、CVSS 重大度スコアは 10 点中 9.8 点です。細工された入力をサービスに送信して脆弱性をエクスプロイトすれば、最終的に侵害を受けたシステムで特権アクションを呼び出せる可能性があります。また、管理者レベルのアカウントを新規作成することもできます。
Snort SID:57527 〜 57530、57535 〜 57538
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:5e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6af
MD5:0a13d106fa3997a0c911edd5aa0e147a
一般的なファイル名:mg20201223-1.exe
偽装名:なし
検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 05 月 13 日に Talos Group のブログに投稿された「Threat Source Newsletter (May 13, 2021)」の抄訳です。