Cisco Japan Blog

脅威情報ニュースレター(2021 年 5 月 6 日)

1 min read



 

Talos 読者の皆様、こんにちは。

ご承知のとおり、コロナ禍で私たちの生活は一変しました。今年、米国の納税申告期限が延長されたのも当然と言えるかもしれません。

今年の期限は例年よりも約 1 ヵ月延長され、5 月 17 日です。攻撃者はこの機会に乗じて、税金とコロナ禍に関連した新たなマルウェア攻撃を展開しました。最新の『Talos Takes』のエピソードをお聴き逃しなく。このエピソードでは、コロナワクチン接種を受ければ報酬を受け取れるという詐欺や、還付金が増えるという詐欺のほか、「税金」に関連した件名のスパムメールについて語っています。

 

今後予定されている Talos の公開イベント

イベント:Cisco Secure at RSA 2021popup_icon

開催日:5 月 17 日 〜 20 日

概要:RSA Conference 2021 のシスコの仮想ブースにお越しください。開催期間中は Talos の研究者やインシデント対応担当者のオンデマンドトークが配信されます。またカンファレンス終了後でも、有効なバーチャルバッジをお持ちであればご視聴いただけます。

イベント:Snort 3 and me(パート 2)popup_icon

開催日:5 月 25 日午前 11 時(米国東部時間)

概要:次世代 IPS である Snort 3 の基本事項を改めてご説明します。是非ともご参加ください。今回も Alex Tatistcheff が Cisco IPS の内部運用について解説します。まだ Snort 3 にアップグレードしていないお客様にとって最適なイベントです。Snort 3 の詳細については、Snort.orgpopup_iconをご覧ください。

1 週間のサイバーセキュリティ概況

  • 国際的な法執行機関の連携で、感染したマシンから悪名高いボットネット「Emotet」を駆逐popup_icon。9 か国以上が参加するこの活動では、脅威の排除を目指しています。
  • 続いて FBI が影響を受けたユーザの電子メールを公表popup_icon。Emotet によって自分のメールアドレスやパスワードが漏洩したかどうか調べたい場合、定評のある Web サイト「Have I Been Pwned」で確認できます。
  • Apple 社が今週、Webkit サービスの脆弱性を修正するためにすべての主要 OS のアップデートpopup_iconをリリース。同社は脆弱性の 1 つがエクスプロイトされた可能性があると発表しています。
  • 米国の有力議員、サイバーセキュリティ インフラストラクチャ セキュリティ庁に産業用制御システム(ICS)の脆弱性の開示とパッチ適用の統制強化popup_iconを要求。議員らは米国の水と電力の供給の保護を強化するために新たな法律の制定が必要であると述べています。
  • ソフトウェア開発の Codecov 社が今週、最近のサプライチェーン攻撃の影響を受けた顧客に通知を開始popup_icon。同社は複数の IP アドレスをセキュリティ侵害の兆候(IOC)として公表しました。悪意のある更新をダウンロードしたユーザから機密情報を収集するために、攻撃者がこれらの IP アドレスを使用したと説明しています。
  • 昨年末、フィンランドで心理療法サービスに関する機密情報が漏洩popup_icon。一部の利用者は、ビットコインで身代金を支払わなかった場合、セラピストが書いたメモなどの情報を漏らすと警告するメールを攻撃者から受け取りました。
  • 会社が利用しているサービスのログイン情報と引き換えにpopup_icon報酬を提供すると謳う Web サイトが発見される。あるサイトでは、給与サイトのログイン情報と引き換えに、周りと比べて自分の給与水準はどの程度なのかについて情報を提供すると記載されていました。
  • 新たなマルウェア「PortDoor」popup_iconが、ロシアの防衛請負業者を標的に。過去に RoyalRoad Weaponizer を使用したことで知られる中国の APT 集団がこの脅威に関与している可能性があるとセキュリティ研究者は述べています。
  • Rust プログラミング言語で記述されたpopup_iconマルウェア「Buer」の亜種が発見される。この書き換えは、既存の検出機能を回避することが主な目的だと考えられます。

最近の注目すべきセキュリティ問題

件名:Linux カーネルで確認された情報漏洩の脆弱性

説明:Cisco Talos は最近、Linux カーネルに情報漏洩の脆弱性を発見しました。Linux カーネルは、無料で使用できるオープンソース形式の Unix 系 OS の中核部分です。この脆弱性は、Linux を実行する 32 ビット ARM デバイスの proc/pid/syscall 機能に存在します。CVE-2020-28588 には情報漏洩の脆弱性があり、攻撃者によりカーネルスタックメモリが表示される可能性があります。この脆弱性が最初に発見されたのは Azure Sphere デバイス(バージョン 20.10)です。32 ビットの ARM デバイスであり、パッチが適用された Linux カーネルを実行します。攻撃者は、/proc/<pid>/syscall という正規の Linux OS ファイルを読み取ることでこの脆弱性をエクスプロイトする可能性があります。その結果、ネットワーク上でリモートで検出することが不可能になります。攻撃者はこの情報漏洩を利用して、パッチが適用されていない Linux の脆弱性をさらにエクスプロイトする可能性があります。

件名:シスコが適応型セキュリティアプライアンスの複数の脆弱性を公開

説明:シスコは、適応型セキュリティアプライアンス ソフトウェアと Cisco Firepower Threat Defense の複数の脆弱性を公開しました。重大度の高い脆弱性(CVE-2021-1493)により、バッファオーバーフロー状態が引き起こされる可能性があります。攻撃者は、悪意のある HTTP 要求を送信することにより、この脆弱性をエクスプロイトする可能性があります。攻撃者がエクスプロイトに成功すると、影響を受けたシステムでバッファオーバーフロー状態が引き起こされ、データフラグメントが開示されたり、デバイスがリロードされたりして、サービス妨害(DoS)状態が発生する可能性があります。他にも中程度のリスクの脆弱性が確認されており、基盤となるオペレーティングシステム上でルート権限で実行される可能性のあるコマンドを攻撃者が注入する危険性があります。

参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-cmdinj-TKyQfDcU

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-memc-dos-fncTyYKG

Snort SID 57486, 57488, 57489 

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 256cda7eb57321e133ca126aa8237a8432e8c539830656d64976bc953a70c0fa587popup_icon

MD5ec26aef08313a27cfa06bfa897972fc1

一般的なファイル名:01fd0f9a83cb940bca23fbeea3ecaffcfb4df2ef.vbs

偽装名:なし

検出名:Win.Worm.Dunihi::tpd

SHA 2565524fee1bb95b3778857b414586611584794867c5fce1952d22dcba93c5cd243popup_icon

MD5f2c1aa209e185ed50bf9ae8161914954

一般的なファイル名:webnavigatorbrowser_exe

偽装名:WebNavigatorBrowser

検出名:W32.5524FEE1BB.5A6DF6a61.auto.Talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 05 月 06 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (May 6, 2021)popup_icon」の抄訳です。

 

コメントを書く