Cisco Japan Blog

脅威情報ニュースレター(2021 年 5 月 27 日)

1 min read



Talos 読者の皆様、こんにちは。

私たちはこれまで、APT(高度サイバー攻撃)か、APT ではないかで攻撃者を分類してきました。APT であれば危険性が高く、関心が集まります。しかし、今はもう状況が違ってきています。

そのため、新しいブログ記事では、新たなハッカー集団を「国家容認のハッカー集団」と呼ぶことを提唱しています。これらのグループは国家の恩恵を受けていますが、政府と直接関係しているわけではありません。詳細については、こちらの記事をご覧ください。

また、Trend Micro 社の Home Network Security Station に関する注目の脆弱性の記事もお見逃しなく。Home Network Security Station は、ホームネットワークに接続されているデバイスの管理に使用されますが、攻撃者に操作されてしまう可能性があります。なお、この脆弱性に対してはすでにパッチが適用されています。

今後予定されている Talos の公開イベント

イベント:Sowing Discord livestreampopup_icon

開催日:6 月 2 日午前 11 時(米国東部時間)

概要:Cisco Talos のライブストリーム プレゼンテーションにご参加ください。内容は、Discord や Slack などのコラボレーションアプリを標的とするマルウェア攻撃に関するものです。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、私たちが実際に確認した攻撃について詳しく取り上げ、ユーザがこれらのアプリを安全に使用する方法について解説します。Q&A にライブで参加したり、LinkedInpopup_iconTalos の YouTube チャンネルpopup_icon をライブで視聴できます。

1 週間のサイバーセキュリティ概況

  • 最新の macOS アップデート、被害者のマシンのスクリーンショットを撮るマルウェアの修正プログラムを提供。攻撃者が開発したのは特定の権限をバイパスするマルウェアで、標的のマイク、Web カメラ、キーストロークへのアクセスを可能にします。
  • Apple 社、複数のセキュリティ脆弱性を修正する iOS 向けの重要なアップデートpopup_icon も同時リリース。今回の修正の一部は、iPhone 6 以降の Apple のデバイスが対象です。
  • アイルランドの医療システム、今なおランサムウェア攻撃からの復旧に対応中popup_icon 。身代金の要求には応じていないものの、思いがけないことに、ファイルを復号するためのキーが攻撃者から提供されたと報じられています。
  • 日本の政府機関、サイバー攻撃の被害を受け、一部の情報が漏洩。この攻撃では、広く使用されている情報共有ソフトウェアが狙われました。
  • フランスの国家情報システムセキュリティ庁の研究者、Bluetooth のペアリングプロセス中のデバイスなりすましpopup_icon に関し、新たな手法を発見。Bluetooth の基本仕様に存在する脆弱性を狙った攻撃手法は昨年明らかにされており、今回発見された脆弱性もこれに関するものです。
  • Air India 社の数百万のユーザ情報が、今年初めに漏洩popup_icon 。流出した情報には、パスポートとチケットの情報、一部のクレジットカード情報が含まれていました。
  • セキュリティ専門家、米国のインフラセキュリティの改善を目的としたサイバーセキュリティに関する大統領令を分析中。バイデン米大統領が署名したこの大統領令では、ゼロトラストpopup_icon とそれが連邦政府機関と請負業者に与える潜在的な影響が重要なポイントになっています。
  • 米国国土安全保障省(DHS)、石油パイプライン業界に対して新たな指令を策定。セキュリティ侵害の適時開示と、サイバーセキュリティ責任者の配置を義務付ける新ルールが導入されるpopup_icon 可能性があります。この責任者は、いかなる時でも DHS とサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)に直接連絡を取ることになります。

最近の注目すべきセキュリティ問題

件名:Microsoft Windows HTTP のプロトコルスタックに、ワーム化する可能性がある脆弱性の POC を研究者が発見popup_icon

説明:Windows HTTP のプロトコルスタックで最近発見されたこの脆弱性はワーム化する恐れがあり、パッチが適用されていない Windows 10 と Server システムを標的として、Windows リモート管理(WinRM)サービスに影響を及ぼします。セキュリティ研究者が脆弱性の POC コードをリリースし、先週、Microsoft 社の月例セキュリティ更新プログラムでパッチが適用されました。この脆弱性は、ユーザが Windows 10 システムで WinRM を手動で有効にした場合にのみ影響を及ぼしますが、エンタープライズ Windows Server エンドポイントではデフォルトで有効になっています。この脆弱性を利用してランサムウェアを拡散する攻撃者は、標的となる環境全体で即座に攻撃を仕掛けることができるため、攻撃対象領域が拡大する可能性があります。Microsoft 社は、影響を受ける製品をできるだけ早急にアップデートするようユーザに呼びかけています。

Snort SID57605

件名:Google Chrome のヒープベースのバッファオーバーフローによるコード実行

説明:Cisco Talos はこのほど、Google Chrome にエクスプロイト可能なヒープベースのバッファオーバーフローの脆弱性を発見しました。CVE-2021-21160 は、Chrome の AudioDelay 機能に存在するバッファオーバーフローの脆弱性であり、攻撃者がリモートでコードを実行する可能性があります。攻撃者は、ユーザを騙して、細工された Chrome の HTML ページにアクセスさせる方法で、この脆弱性をエクスプロイトします。ヒープ操作によって攻撃者はこのヒープオーバーフローの脆弱性を完全に制御できるようになり、その結果、任意のコードが実行される可能性があります。

Snort SID57057、57058

今週最も多く見られたマルウェアファイル

SHA 2567263ec6afa49dcb11ab9e3ee7e453e26b9ba91c3f8a440bcab3b92048175eb33popup_icon  

MD529c8ba0d89a9265c270985b02572e693

一般的なファイル名:29C8BA0D89A9265C270985B02572E693.mlw

偽装名:なし

検出名:W32.7263EC6AFA.smokeloader.in11.Talos

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256d88b26b3699c3b02f8be712552185533d77d7866f1a9a723c1fbc40cdfc2287dpopup_icon

MD54dd358e4af31fb9bf83c2078cd874ff4

一般的なファイル名:smbscanlocal1805.exe

偽装名:なし

検出名:Auto.D88B26B369.241855.in07.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon から『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_icon からどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_icon からご登録ください。

 

本稿は 2021 年 05 月 27 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (May 27, 2021)popup_icon」の抄訳です。

コメントを書く