Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 5 月 20 日)


2021年5月27日

Talos 読者の皆様、こんにちは。

RSA Conference は盛りだくさんの内容で、情報を消化しきれていない方も多いのではないでしょうか。しかしこれで終わりではありません。

RSA Conference に関連して、Cisco Talos インシデント対応チーム(CTIR)は、問題の解決に役立った最近の取り組みについてのケーススタディを複数公開しています。これらのケーススタディでは、インシデント対応とは「チームスポーツ」であり、お客様とインシデント対応チームが深い信頼関係に基づいて、協力しながら課題に対応している事例を紹介しています。

詳細については、CTIR の RSA のオンデマンド プレゼンテーションpopup_iconをご覧ください。

『Beers with Talos』ポッドキャストの最新エピソードpopup_iconも公開しています。44 分間に Matt の「隠されたフレーズ」が何回でてくるかチェックしてみてください。

今後予定されている Talos の公開イベント

イベント:Snort 3 and me(パート 2)popup_icon

開催日:5 月 25 日午前 11 時(米国東部時間)

概要:次世代 IPS である Snort 3 の基本事項を改めてご説明します。ぜひともご参加ください。今回も Alex Tatistcheff が Cisco IPS の内部運用について解説します。まだ Snort 3 にアップグレードしていないお客様にとって最適なイベントです。Snort 3 の詳細については、Snort.orgpopup_iconをご覧ください。

イベント:Sowing Discord livestreampopup_icon

開催日:6 月 2 日午前 11 時(米国東部時間)

概要:Cisco Talos のライブストリーム プレゼンテーションにご参加ください。内容は、Discord や Slack などのコラボレーションアプリを標的とするマルウェア攻撃に関するものです。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、私たちが実際に確認した攻撃について詳しく取り上げ、ユーザがこれらのアプリを安全に使用する方法について解説します。Q&A にライブで参加したり、LinkedIn や Talos の YouTube チャンネルをライブで視聴できます。

1 週間のサイバーセキュリティ概況

  • Colonial Pipeline 社、大規模な石油パイプラインの閉鎖を引き起こした攻撃者に 440 万ドルの身代金を支払ったpopup_iconことを認める。同社の CEO は、できるだけ速やかにパイプラインの操業を再開することが米国の国益になると考えたと発言しています。
  • 攻撃の背後にいるランサムウェアグループ「DarkSide」が先週活動を停止popup_icon、被害額は 9,000 万ドル以上。DarkSide はサービスとしてのランサムウェア(RaaS)モデルを実行し、ビットコインで支払いを受けています。
  • 米国政府、DarkSide の活動停止への関与を否定popup_icon。一部のセキュリティ研究者は、DarkSide の活動停止は策略である可能性があると述べています。
  • バイデン米大統領の 2022 年度予算案に、サイバーセキュリティに対する数百万ドルの新規投資popup_iconが盛り込まれる。この投資は大規模なインフラ改修の項目として組み込まれています。
  • アイルランドの医療システム、「壊滅的な」サイバー攻撃popup_iconを受けた後、いまだに紙媒体に依存。公的医療サービス提供機関の責任者は、まだ回復の評価段階にあり、影響を受ける可能性のあるすべてのシステムとサーバを調査中であると発言しています。
  • 今後リリースされる Android 12 モバイル オペレーティング システムに、アプリがカメラやマイクなどの特定の機能を使用していることをユーザに通知する、プライバシーとセキュリティの新機能popup_iconが搭載されることが判明。ユーザは、正確な座標ではなく、おおよその位置情報をアプリと共有することもできます。
  • Google、Qualcomm と Arm Mail のチップの 4 件の脆弱性popup_iconが実際にエクスプロイトされていることをユーザに警告。エクスプロイトの重大度は中程度から高リスクです。
  • Apple 社とビデオゲーム開発会社 Epic 社との間で進行中の訴訟により、Mac のセキュリティに対する Apple 社のアプローチに関する情報が明らかにpopup_icon。Apple 社の幹部は、2020 年 5 月以降に 130 種類の Mac マルウェアを発見し、そのうちの 1 種類だけが 30 万台のシステムに感染したと証言しています。
  • オンライン ハッキング グループ、米国市民の身元情報を盗み出し、配車サービスやフードデリバリーサービスで偽のアカウントを作成するために使用popup_iconしたとの報道。米国司法省は、米国で就労資格のない人々にアカウントを販売・レンタルしたとされる 14 人のブラジル人を訴追したことを発表しました。

最近の注目すべきセキュリティ問題

件名:APT グループ「Transparent Tribe」が Windows マルウェアの攻撃力を増強

件名:Transparent Tribe(別名 APT36、Mythic Leopard)は、正規の軍事組織や防衛組織に見せかけた偽装ドメインを立て続けに作成し、攻撃の中核に据えています。Transparent Tribe の主な標的が軍と国防機関の職員であることに変わりはありません。ただし、外交関係者、防衛関連企業、研究機関、会議参加者を標的にするケースも徐々に増えており、攻撃対象を拡大していることがわかります。悪意のあるドメインを登録するために Transparent Tribe が採用しているアプローチは 2 種類あります。1 つ目は、行政、国防、研究機関に属する正規のサイトに偽装したドメインの使用で、2 つ目はファイル共有 Web サイトに似せた悪意のあるドメインの使用です。

Snort SID57551 〜 57562

件名:脆弱な Microsoft Exchange Server を標的とする暗号通貨マイナー「Lemon Duck」

説明:Cisco Talos はこのところ、暗号通貨マイニングボットネット Lemon Duck に関連する最新のインフラストラクチャと新しいコンポーネントを監視してきました。パッチが適用されていない Microsoft Exchange Server が標的となっており、Cobalt Strike DNS ビーコンのペイロードをダウンロードして実行しようとします。このアクティビティでは Lemon Duck に関連する最新の戦術、手法、手順(TTP)が確認されています。Microsoft Exchange Server の複数のゼロデイ脆弱性が公開されたのは 3 月 2 日のことです。その後、Cisco Talos や他のセキュリティ研究者によって、Lemon Duck を含む複数の攻撃者が、セキュリティパッチが提供される前にこれらの脆弱性を突いて最初のエクスプロイトを仕掛ける様子が観察されるようになりました。Microsoft 社が 3 月 25 日に発表したレポートでは、Lemon Duck が Exchange Server を標的として、暗号通貨マイニングマルウェアとマルウェアローダをインストールしていることが大きく取り上げられています。このマルウェアローダは、情報窃盗などの二次的なマルウェアペイロードの配布に使用されていました。Talos も 2020 年 2 月にはすでに、Lemon Duck の攻撃者が東アジアのトップレベルドメイン(TLD)を含む偽のドメインを作成することで、実際に通信している C2 ドメインを検出しにくくしていることを確認しています。ここから、攻撃をより効果的に展開するための新たな試みが明らかになりました。

Snort SID45549:4、46237、50795、55926、57469 ~ 57474

ClamAV シグネチャ:Ps1.Trojan.Lemonduck-9856143、Ps1.Trojan.Lemonduck-9856144、Win.Trojan.CobaltStrike-7917400、Win.Trojan.CobaltStrike-8091534

Cisco Secure Endpoint Cloud IOCW32.LemonDuckCryptoMiner.ioc、Clam.Ps1.Dropper.LemonDuck-9775016-1、Win.Miner.LemonDuck.tii.Talos、Ps1.Dropper.LemonDuck、Clam.Js.Malware.LemonDuck-9775029- 1

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2565524fee1bb95b3778857b414586611584794867c5fce1952d22dcba93c5cd243popup_icon

MD5f2c1aa209e185ed50bf9ae8161914954

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigatorBrowser

検出名:W32.5524FEE1BB.5A6DF6a61.auto.Talos

 SHA 2563bc24c618151b74ebffb9fbdaf89569fadcce6682584088fde222685079f7bb9popup_icon

MD5d709ea22945c98782dc69e996a98d64

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Auto:d0442520e2.in03.Talos

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 05 月 20 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (May 20, 2021)popup_icon」の抄訳です。

 

Tags:
コメントを書く