脅威情報ニュースレター(2021 年 6 月 3 日)
Talos 読者の皆様、こんにちは。
昨日 Talos は、Discord と Slack を狙うマルウェアについて取り上げた動画をライブ配信しました。見られなかった方のために、フルバージョンの動画を YouTube ページにアップロードしています。Talos アウトリーチチームの Chris Neal が、コラボレーションアプリを標的にした攻撃に関する最近の調査を紹介しています。2021 年の仕事とコミュニケーションに不可欠となったこれらのアプリに関し、Chris 率いるチームが確認した内容をご覧ください。
1 週間のサイバーセキュリティ概況
- Microsoft 社、ハッカー集団「Nobelium」が引き続き知名度の高い企業とシンクタンクを標的
にしてインテリジェンス収集活動を行っていることを確認。報告によれば、Nobelium は、電子メール マーケティング プラットフォーム「Constant Contact」の米国国際開発庁(USAID)のアカウントにアクセスしていました。 - Nobelium の攻撃では被害者を誘い込むため、ドナルド・トランプ元大統領のものに見せかけた文書を送信。悪意のあるドキュメントによって最終的に DLL がダウンロードされ、被害者のマシンにバックドアが仕掛けられます。
- 世界最大手の食肉加工会社 JBS がサイバー攻撃を受け、数日間にわたって一部の工場の操業を停止。木曜日の時点で、サービスの大半が復旧しています。
- FBI、JBS への攻撃に悪名高いランサムウェアグループ「REvil」が関与しているとの声明を発表。同グループの代表は去る 10 月に、次は農業分野を標的にする可能性が高いと述べていました。
- 今年初め、複数の有名な輸送システムがサイバー攻撃の被害者となっていたことが明らかに。今週、マーサズヴィニヤード島のフェリーがサイバー攻撃を受けました。またニューヨーク州都市交通局は、4 月にサイバー攻撃を受けたものの乗客のデータ流出はなかったと公表しました。
- ホワイトハウス、最近のサイバー攻撃の増加を民間企業の経営陣に警告する覚書を発表。企業がランサムウェア攻撃から身を守るため即座に講じることができる対策の概要を説明しています。
- バイデン政権、2022 年に軍以外の政府機関のサイバーセキュリティに約 100 億ドルを投じる予算案を提出、今年と比べて 14% 増額に。予算には、SolarWinds サプライチェーン攻撃から得た「教訓に対応する」ために特別に計上された 7 億 5,000 万ドルが含まれています。
- 開始目前の Amazon の新プログラム「Sidewalk」は Amazon デバイスで自動的に有効化、ユーザのワイヤレスインターネットが他の Amazon デバイスと共有可能に。デバイスが接続されていない場合、他人の Wi-Fi を一部利用できるようにもなります。
最近の注目すべきセキュリティ問題
件名:Trend Micro 社の Home Network Security Station の脆弱性により、デバイスが乗っ取られる可能性
説明:Trend Micro 社はこのほど、Home Network Security のシステムに存在していた複数のセキュリティの脆弱性を修正しました。攻撃者がこれらの脆弱性をエクスプロイトし、接続されているデバイスでのサービス妨害、権限昇格、コード実行を引き起こす可能性があります。Home Network Security Station は、接続されているデバイスの脆弱性をスキャンすることでユーザのホームネットワークを保護し、侵入防御システムとして機能するオールインワンデバイスです。攻撃者がこれらの脆弱性を悪用してデバイスを操作し、デバイス上でリモートコードを実行したり、標的のホームネットワークに接続されている PC を乗っ取ったりする危険性があります。
Snort SID:51719 – 57122
件名:Accusoft ImageGear で発見された複数の脆弱性
説明:Cisco Talos はこのほど、Accusoft ImageGear で複数の脆弱性を発見しました。ImageGear ライブラリは、画像処理アプリケーションを作成するためのツールキットです。画像の作成、編集、注釈追加、変換などの機能に対応しています。DICOM、PDF、Microsoft Office など、100 種類を超える形式をサポートしています。Talos が発見したこれらの脆弱性がエクスプロイトされると、被害者のマシンにおけるメモリ破損やリモートコードの実行など、幅広い不正操作につながる危険性があります。CVE-2021-21793、CVE-2021-21794、CVE-2021-21824 は、ソフトウェアのさまざまな機能に存在する境界外書き込みの脆弱性です。脆弱性がエクスプロイトされる可能性があるのは、細工されたファイルをユーザが開いた場合です。
Snort SID:54411 – 54414, 57249 – 57252, 57270 – 57273, 57301, 57302, 57378, 57379
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:583418f8f4c156be56ae65b932ca1d8e431e8f845806d0fc814f40562241fbc4
MD5:52ed8d8b8f1d37b7db0319a3351f6a16
一般的なファイル名:smbscanlocal2705.exe
偽装名:なし
検出名:W32.Auto:583418f8f4.in03.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:AntivirusService
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:3bc24c618151b74ebffb9fbdaf89569fadcce6682584088fde222685079f7bb9
MD5:d709ea22945c98782dc69e996a98d643
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:W32.Auto:3bc24c6181.in03.Talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
Tags:本稿は 2021 年 06 月 03 日に Talos Group
