Talos 読者の皆様、こんにちは。
ランサムウェアの話題を目にしない日はありません。絶えずニュースで大々的に報じられ、今や連邦政府も注視しています。Talos は、この世界的な脅威に対処するには、言葉で非難するだけでなく行動を起こす必要もあると考えています。今週公開したこちらの意見書は、Cyber Threat Alliance(CTA)の協力を得て作成しました。人命、財産、重要インフラ、経済のすべてをランサムウェアから保護するために政府と民間部門がとるべき措置をいくつか挙げ、概説しています。
ブログだけでなく、新しくなった Cisco Talos インシデント対応チーム(CTIR)の Web ページ
もぜひご覧ください。CTIR のサービス一覧を更新したほか、見た目も変えていますので、利用しやすくなっているはずです。
セキュリティ関連のニュースに戻ると、今週、Microsoft 社のセキュリティ更新プログラム(月例)が公開されました。公開された脆弱性の中には、同社により実際のエクスプロイトが確認されているものが複数存在します。まだパッチを適用していない方は、Microsoft 製品のすべてに適用するようお勧めします。
1 週間のサイバーセキュリティ概況
- 米国司法省、ランサムウェア攻撃を受けて Colonial Pipeline 社が支払った身代金のうち、約 230 万ドル相当のビットコインを奪還。同社は可能な限り迅速に操業を再開するため、ネットワークを侵害した攻撃者に 400 万ドル以上の身代金を支払っていました。
- Colonial Pipeline 社の CEO、最悪のシナリオを回避するために身代金を支払ったと米議会で証言。同氏は、侵害が最初に検出された後、パイプラインを物理的に制御されないようにすることだけを考えて対応したと述べました。
- 世界的な食肉加工メーカー JBS、ランサムウェア攻撃を仕掛けた攻撃者に身代金 1,100 万ドルを支払ったと発表。攻撃を受け、同社は米国とオーストラリアで数日間にわたり一部の工場の操業を停止せざるを得ませんでした。
- Adobe 社、今週公開した月例のセキュリティアップデートで、製品スイート全体で 41 件の脆弱性を公開。この修正には、Adobe Acrobat と Reader で見つかった重大な脆弱性 5 件に対するパッチが含まれています。
- Google が公開を予定している Android 12 リリースに、Google Play ストアからダウンロードしたアプリからのトラッキングをオプトアウトする新機能が搭載。これは、Apple 社が最近 iOS プラットフォームに導入した同様のオプション機能に追随するものです。
- Android 12 のセカンドベータ版ではさらに、アプリがカメラ、マイク、クリップボードにアクセスしているときにアイコンを表示。いずれも新たに追加された「プライバシーダッシュボード」の機能です。
- 新たに公開された裁判文書で、FBI が暗号化通信対応とされていたメッセージアプリを使用して犯罪組織の通信を傍受した方法が明らかに。おとり捜査に使用されたのは「An0m」というアプリで、匿名で通信できるとされていましたが、実際には FBI が犯罪者の行動を追跡していました。
- 米国の警察当局、リモートアクセス型トロイの木馬の「Trickbot」を展開する攻撃者と思われる人物を逮捕。逮捕された女はこのマルウェアの主要なコード作成者の 1 人で、制御、展開、支払いなど、ランサムウェア関連の機能を開発したとのことです。
- 新たな APT グループが 2017 年以降、アフリカおよび中東の外交組織を標的にしているとの報告。APT グループ BackdoorDiplomacy が使用するのは、Quarian バックドアから派生した「Turian」というカスタムバックドアです。
最近の注目すべきセキュリティ問題
件名:VMware 社製品に、攻撃にさらされている重大度 9.8 の脆弱性が存在
説明:VMware 社は金曜日、vSphere Client の Virtual SAN Health Check プラグインに存在する重大な脆弱性のエクスプロイトから身を守るようユーザに警告しました。このプラグインは、vCenter Server ではデフォルトで有効になっています。このサービスにネットワークアクセスできる攻撃者に脆弱性をエクスプロイトされると、vCenter Server が被害を受け、リモートコードを実行される危険性があります。大規模データセンターの仮想化を管理できるソフトウェアに存在するこの脆弱性は、CVE-2021-21985 として追跡されています。同社は今月初めに公開したアドバイザリで、デフォルトの設定を使用している vCenter マシンにはこの脆弱性が存在するとユーザに警告しました。攻撃者に脆弱性をエクスプロイトされると、vCenter に接続していてインターネットに公開されているマシンで、悪意のあるコードを実行される危険性があります。CVSS 重大度スコアは 10 点中 9.8 点です。
参考資料:
Snort SID:57720
件名:Microsoft 社が月例セキュリティ更新プログラムをリリース、49 件の脆弱性を公表
説明:Microsoft 社は火曜日、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 49 件の脆弱性についての情報を公開しました。これは、過去 16 か月間で最も少ない件数です。今月修正された「緊急」の脆弱性は 4 件のみで、残りはすべて「重要」です。ただし Microsoft 社によると、実際にエクスプロイトされている脆弱性が複数あります。今月、「緊急」と評価された脆弱性のうちの 1 件は、Windows Defender(マルウェア対策ソフトウェア)に存在します。CVE-2021-31985 がエクスプロイトされると、攻撃者が標的のマシンでリモートでコードを実行する可能性があります。ただし Microsoft 社は、Windows Defender で今月確認された他の脆弱性とともに、この脆弱性が自動更新されることを発表しています。ユーザは、Microsoft 社がアドバイザリで説明している手順に基づき、更新プログラムのダウンロードとインストールが完了していることを確認できます。
Snort SID:49388、49389、57722 〜 57727、57730 〜 57733、57735、57736
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:583418f8f4c156be56ae65b932ca1d8e431e8f845806d0fc814f40562241fbc4
MD5:52ed8d8b8f1d37b7db0319a3351f6a16
一般的なファイル名:smbscanlocal2705.exe
偽装名:なし
検出名:W32.Auto:583418f8f4.in03.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:d8ccc7b34c875d9bbbde99de2338b76aab46a87b777e3f010f205028d7bf9156
MD5:d04b460018cf958816d35fc122a955df
一般的なファイル名:hd8vct.exe
偽装名:なし
検出名:W32.Auto:d8ccc7b34c.in03.Talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 06 月 10 日に Talos Group
Authors