Talos 読者の皆様、こんにちは。
ご承知のとおり、コロナ禍で私たちの生活は一変しました。今年、米国の納税申告期限が延長されたのも当然と言えるかもしれません。
今年の期限は例年よりも約 1 ヵ月延長され、5 月 17 日です。攻撃者はこの機会に乗じて、税金とコロナ禍に関連した新たなマルウェア攻撃を展開しました。最新の『Talos Takes』のエピソードをお聴き逃しなく。このエピソードでは、コロナワクチン接種を受ければ報酬を受け取れるという詐欺や、還付金が増えるという詐欺のほか、「税金」に関連した件名のスパムメールについて語っています。
今後予定されている Talos の公開イベント
開催日:5 月 17 日 〜 20 日
概要:RSA Conference 2021 のシスコの仮想ブースにお越しください。開催期間中は Talos の研究者やインシデント対応担当者のオンデマンドトークが配信されます。またカンファレンス終了後でも、有効なバーチャルバッジをお持ちであればご視聴いただけます。
開催日:5 月 25 日午前 11 時(米国東部時間)
概要:次世代 IPS である Snort 3 の基本事項を改めてご説明します。是非ともご参加ください。今回も Alex Tatistcheff が Cisco IPS の内部運用について解説します。まだ Snort 3 にアップグレードしていないお客様にとって最適なイベントです。Snort 3 の詳細については、Snort.orgをご覧ください。
1 週間のサイバーセキュリティ概況
- 国際的な法執行機関の連携で、感染したマシンから悪名高いボットネット「Emotet」を駆逐。9 か国以上が参加するこの活動では、脅威の排除を目指しています。
- 続いて FBI が影響を受けたユーザの電子メールを公表。Emotet によって自分のメールアドレスやパスワードが漏洩したかどうか調べたい場合、定評のある Web サイト「Have I Been Pwned」で確認できます。
- Apple 社が今週、Webkit サービスの脆弱性を修正するためにすべての主要 OS のアップデートをリリース。同社は脆弱性の 1 つがエクスプロイトされた可能性があると発表しています。
- 米国の有力議員、サイバーセキュリティ インフラストラクチャ セキュリティ庁に産業用制御システム(ICS)の脆弱性の開示とパッチ適用の統制強化を要求。議員らは米国の水と電力の供給の保護を強化するために新たな法律の制定が必要であると述べています。
- ソフトウェア開発の Codecov 社が今週、最近のサプライチェーン攻撃の影響を受けた顧客に通知を開始。同社は複数の IP アドレスをセキュリティ侵害の兆候(IOC)として公表しました。悪意のある更新をダウンロードしたユーザから機密情報を収集するために、攻撃者がこれらの IP アドレスを使用したと説明しています。
- 昨年末、フィンランドで心理療法サービスに関する機密情報が漏洩。一部の利用者は、ビットコインで身代金を支払わなかった場合、セラピストが書いたメモなどの情報を漏らすと警告するメールを攻撃者から受け取りました。
- 会社が利用しているサービスのログイン情報と引き換えに報酬を提供すると謳う Web サイトが発見される。あるサイトでは、給与サイトのログイン情報と引き換えに、周りと比べて自分の給与水準はどの程度なのかについて情報を提供すると記載されていました。
- 新たなマルウェア「PortDoor」が、ロシアの防衛請負業者を標的に。過去に RoyalRoad Weaponizer を使用したことで知られる中国の APT 集団がこの脅威に関与している可能性があるとセキュリティ研究者は述べています。
- Rust プログラミング言語で記述されたマルウェア「Buer」の亜種が発見される。この書き換えは、既存の検出機能を回避することが主な目的だと考えられます。
最近の注目すべきセキュリティ問題
説明:Cisco Talos は最近、Linux カーネルに情報漏洩の脆弱性を発見しました。Linux カーネルは、無料で使用できるオープンソース形式の Unix 系 OS の中核部分です。この脆弱性は、Linux を実行する 32 ビット ARM デバイスの proc/pid/syscall 機能に存在します。CVE-2020-28588 には情報漏洩の脆弱性があり、攻撃者によりカーネルスタックメモリが表示される可能性があります。この脆弱性が最初に発見されたのは Azure Sphere デバイス(バージョン 20.10)です。32 ビットの ARM デバイスであり、パッチが適用された Linux カーネルを実行します。攻撃者は、/proc/<pid>/syscall という正規の Linux OS ファイルを読み取ることでこの脆弱性をエクスプロイトする可能性があります。その結果、ネットワーク上でリモートで検出することが不可能になります。攻撃者はこの情報漏洩を利用して、パッチが適用されていない Linux の脆弱性をさらにエクスプロイトする可能性があります。
件名:シスコが適応型セキュリティアプライアンスの複数の脆弱性を公開
説明:シスコは、適応型セキュリティアプライアンス ソフトウェアと Cisco Firepower Threat Defense の複数の脆弱性を公開しました。重大度の高い脆弱性(CVE-2021-1493)により、バッファオーバーフロー状態が引き起こされる可能性があります。攻撃者は、悪意のある HTTP 要求を送信することにより、この脆弱性をエクスプロイトする可能性があります。攻撃者がエクスプロイトに成功すると、影響を受けたシステムでバッファオーバーフロー状態が引き起こされ、データフラグメントが開示されたり、デバイスがリロードされたりして、サービス妨害(DoS)状態が発生する可能性があります。他にも中程度のリスクの脆弱性が確認されており、基盤となるオペレーティングシステム上でルート権限で実行される可能性のあるコマンドを攻撃者が注入する危険性があります。
参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-cmdinj-TKyQfDcU
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-memc-dos-fncTyYKG
Snort SID: 57486, 57488, 57489
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:cda7eb57321e133ca126aa8237a8432e8c539830656d64976bc953a70c0fa587
MD5:ec26aef08313a27cfa06bfa897972fc1
一般的なファイル名:01fd0f9a83cb940bca23fbeea3ecaffcfb4df2ef.vbs
偽装名:なし
検出名:Win.Worm.Dunihi::tpd
SHA 256:5524fee1bb95b3778857b414586611584794867c5fce1952d22dcba93c5cd243
MD5:f2c1aa209e185ed50bf9ae8161914954
一般的なファイル名:webnavigatorbrowser_exe
偽装名:WebNavigatorBrowser
検出名:W32.5524FEE1BB.5A6DF6a61.auto.Talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 05 月 06 日に Talos Group のブログに投稿された「Threat Source Newsletter (May 6, 2021)」の抄訳です。