Talos 読者の皆様、こんにちは。
RSA Conference は盛りだくさんの内容で、情報を消化しきれていない方も多いのではないでしょうか。しかしこれで終わりではありません。
RSA Conference に関連して、Cisco Talos インシデント対応チーム(CTIR)は、問題の解決に役立った最近の取り組みについてのケーススタディを複数公開しています。これらのケーススタディでは、インシデント対応とは「チームスポーツ」であり、お客様とインシデント対応チームが深い信頼関係に基づいて、協力しながら課題に対応している事例を紹介しています。
詳細については、CTIR の RSA のオンデマンド プレゼンテーション
をご覧ください。
『Beers with Talos』ポッドキャストの最新エピソードも公開しています。44 分間に Matt の「隠されたフレーズ」が何回でてくるかチェックしてみてください。
今後予定されている Talos の公開イベント
開催日:5 月 25 日午前 11 時(米国東部時間)
概要:次世代 IPS である Snort 3 の基本事項を改めてご説明します。ぜひともご参加ください。今回も Alex Tatistcheff が Cisco IPS の内部運用について解説します。まだ Snort 3 にアップグレードしていないお客様にとって最適なイベントです。Snort 3 の詳細については、Snort.orgをご覧ください。
イベント:Sowing Discord livestream
開催日:6 月 2 日午前 11 時(米国東部時間)
概要:Cisco Talos のライブストリーム プレゼンテーションにご参加ください。内容は、Discord や Slack などのコラボレーションアプリを標的とするマルウェア攻撃に関するものです。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、私たちが実際に確認した攻撃について詳しく取り上げ、ユーザがこれらのアプリを安全に使用する方法について解説します。Q&A にライブで参加したり、LinkedIn や Talos の YouTube チャンネルをライブで視聴できます。
1 週間のサイバーセキュリティ概況
- Colonial Pipeline 社、大規模な石油パイプラインの閉鎖を引き起こした攻撃者に 440 万ドルの身代金を支払ったことを認める。同社の CEO は、できるだけ速やかにパイプラインの操業を再開することが米国の国益になると考えたと発言しています。
- 攻撃の背後にいるランサムウェアグループ「DarkSide」が先週活動を停止、被害額は 9,000 万ドル以上。DarkSide はサービスとしてのランサムウェア(RaaS)モデルを実行し、ビットコインで支払いを受けています。
- 米国政府、DarkSide の活動停止への関与を否定。一部のセキュリティ研究者は、DarkSide の活動停止は策略である可能性があると述べています。
- バイデン米大統領の 2022 年度予算案に、サイバーセキュリティに対する数百万ドルの新規投資が盛り込まれる。この投資は大規模なインフラ改修の項目として組み込まれています。
- アイルランドの医療システム、「壊滅的な」サイバー攻撃を受けた後、いまだに紙媒体に依存。公的医療サービス提供機関の責任者は、まだ回復の評価段階にあり、影響を受ける可能性のあるすべてのシステムとサーバを調査中であると発言しています。
- 今後リリースされる Android 12 モバイル オペレーティング システムに、アプリがカメラやマイクなどの特定の機能を使用していることをユーザに通知する、プライバシーとセキュリティの新機能が搭載されることが判明。ユーザは、正確な座標ではなく、おおよその位置情報をアプリと共有することもできます。
- Google、Qualcomm と Arm Mail のチップの 4 件の脆弱性が実際にエクスプロイトされていることをユーザに警告。エクスプロイトの重大度は中程度から高リスクです。
- Apple 社とビデオゲーム開発会社 Epic 社との間で進行中の訴訟により、Mac のセキュリティに対する Apple 社のアプローチに関する情報が明らかに。Apple 社の幹部は、2020 年 5 月以降に 130 種類の Mac マルウェアを発見し、そのうちの 1 種類だけが 30 万台のシステムに感染したと証言しています。
- オンライン ハッキング グループ、米国市民の身元情報を盗み出し、配車サービスやフードデリバリーサービスで偽のアカウントを作成するために使用したとの報道。米国司法省は、米国で就労資格のない人々にアカウントを販売・レンタルしたとされる 14 人のブラジル人を訴追したことを発表しました。
最近の注目すべきセキュリティ問題
件名:APT グループ「Transparent Tribe」が Windows マルウェアの攻撃力を増強
件名:Transparent Tribe(別名 APT36、Mythic Leopard)は、正規の軍事組織や防衛組織に見せかけた偽装ドメインを立て続けに作成し、攻撃の中核に据えています。Transparent Tribe の主な標的が軍と国防機関の職員であることに変わりはありません。ただし、外交関係者、防衛関連企業、研究機関、会議参加者を標的にするケースも徐々に増えており、攻撃対象を拡大していることがわかります。悪意のあるドメインを登録するために Transparent Tribe が採用しているアプローチは 2 種類あります。1 つ目は、行政、国防、研究機関に属する正規のサイトに偽装したドメインの使用で、2 つ目はファイル共有 Web サイトに似せた悪意のあるドメインの使用です。
Snort SID:57551 〜 57562
件名:脆弱な Microsoft Exchange Server を標的とする暗号通貨マイナー「Lemon Duck」
説明:Cisco Talos はこのところ、暗号通貨マイニングボットネット Lemon Duck に関連する最新のインフラストラクチャと新しいコンポーネントを監視してきました。パッチが適用されていない Microsoft Exchange Server が標的となっており、Cobalt Strike DNS ビーコンのペイロードをダウンロードして実行しようとします。このアクティビティでは Lemon Duck に関連する最新の戦術、手法、手順(TTP)が確認されています。Microsoft Exchange Server の複数のゼロデイ脆弱性が公開されたのは 3 月 2 日のことです。その後、Cisco Talos や他のセキュリティ研究者によって、Lemon Duck を含む複数の攻撃者が、セキュリティパッチが提供される前にこれらの脆弱性を突いて最初のエクスプロイトを仕掛ける様子が観察されるようになりました。Microsoft 社が 3 月 25 日に発表したレポートでは、Lemon Duck が Exchange Server を標的として、暗号通貨マイニングマルウェアとマルウェアローダをインストールしていることが大きく取り上げられています。このマルウェアローダは、情報窃盗などの二次的なマルウェアペイロードの配布に使用されていました。Talos も 2020 年 2 月にはすでに、Lemon Duck の攻撃者が東アジアのトップレベルドメイン(TLD)を含む偽のドメインを作成することで、実際に通信している C2 ドメインを検出しにくくしていることを確認しています。ここから、攻撃をより効果的に展開するための新たな試みが明らかになりました。
Snort SID:45549:4、46237、50795、55926、57469 ~ 57474
ClamAV シグネチャ:Ps1.Trojan.Lemonduck-9856143、Ps1.Trojan.Lemonduck-9856144、Win.Trojan.CobaltStrike-7917400、Win.Trojan.CobaltStrike-8091534
Cisco Secure Endpoint Cloud IOC:W32.LemonDuckCryptoMiner.ioc、Clam.Ps1.Dropper.LemonDuck-9775016-1、Win.Miner.LemonDuck.tii.Talos、Ps1.Dropper.LemonDuck、Clam.Js.Malware.LemonDuck-9775029- 1
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:5524fee1bb95b3778857b414586611584794867c5fce1952d22dcba93c5cd243
MD5:f2c1aa209e185ed50bf9ae8161914954
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.5524FEE1BB.5A6DF6a61.auto.Talos
SHA 256:3bc24c618151b74ebffb9fbdaf89569fadcce6682584088fde222685079f7bb9
MD5:d709ea22945c98782dc69e996a98d643
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Auto:d0442520e2.in03.Talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 05 月 20 日に Talos Group
Authors