脅威情報ニュースレター（2021 年 5 月 27 日）

Talos 読者の皆様、こんにちは。

私たちはこれまで、APT（高度サイバー攻撃）か、APT ではないかで攻撃者を分類してきました。APT であれば危険性が高く、関心が集まります。しかし、今はもう状況が違ってきています。

そのため、新しいブログ記事では、新たなハッカー集団を「国家容認のハッカー集団」と呼ぶことを提唱しています。これらのグループは国家の恩恵を受けていますが、政府と直接関係しているわけではありません。詳細については、こちらの記事をご覧ください。

また、Trend Micro 社の Home Network Security Station に関する注目の脆弱性の記事もお見逃しなく。Home Network Security Station は、ホームネットワークに接続されているデバイスの管理に使用されますが、攻撃者に操作されてしまう可能性があります。なお、この脆弱性に対してはすでにパッチが適用されています。

今後予定されている Talos の公開イベント

イベント：Sowing Discord livestream

開催日：6 月 2 日午前 11 時（米国東部時間）

概要：Cisco Talos のライブストリーム プレゼンテーションにご参加ください。内容は、Discord や Slack などのコラボレーションアプリを標的とするマルウェア攻撃に関するものです。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、私たちが実際に確認した攻撃について詳しく取り上げ、ユーザがこれらのアプリを安全に使用する方法について解説します。Q&A にライブで参加したり、LinkedIn や Talos の YouTube チャンネル をライブで視聴できます。

1 週間のサイバーセキュリティ概況

• 最新の macOS アップデート、被害者のマシンのスクリーンショットを撮るマルウェアの修正プログラムを提供。攻撃者が開発したのは特定の権限をバイパスするマルウェアで、標的のマイク、Web カメラ、キーストロークへのアクセスを可能にします。
• Apple 社、複数のセキュリティ脆弱性を修正する iOS 向けの重要なアップデート も同時リリース。今回の修正の一部は、iPhone 6 以降の Apple のデバイスが対象です。
• アイルランドの医療システム、今なおランサムウェア攻撃からの復旧に対応中 。身代金の要求には応じていないものの、思いがけないことに、ファイルを復号するためのキーが攻撃者から提供されたと報じられています。
• 日本の政府機関、サイバー攻撃の被害を受け、一部の情報が漏洩。この攻撃では、広く使用されている情報共有ソフトウェアが狙われました。
• フランスの国家情報システムセキュリティ庁の研究者、Bluetooth のペアリングプロセス中のデバイスなりすまし に関し、新たな手法を発見。Bluetooth の基本仕様に存在する脆弱性を狙った攻撃手法は昨年明らかにされており、今回発見された脆弱性もこれに関するものです。
• Air India 社の数百万のユーザ情報が、今年初めに漏洩 。流出した情報には、パスポートとチケットの情報、一部のクレジットカード情報が含まれていました。
• セキュリティ専門家、米国のインフラセキュリティの改善を目的としたサイバーセキュリティに関する大統領令を分析中。バイデン米大統領が署名したこの大統領令では、ゼロトラスト とそれが連邦政府機関と請負業者に与える潜在的な影響が重要なポイントになっています。
• 米国国土安全保障省（DHS）、石油パイプライン業界に対して新たな指令を策定。セキュリティ侵害の適時開示と、サイバーセキュリティ責任者の配置を義務付ける新ルールが導入される 可能性があります。この責任者は、いかなる時でも DHS とサイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）に直接連絡を取ることになります。

最近の注目すべきセキュリティ問題

件名：Microsoft Windows HTTP のプロトコルスタックに、ワーム化する可能性がある脆弱性の POC を研究者が発見

説明：Windows HTTP のプロトコルスタックで最近発見されたこの脆弱性はワーム化する恐れがあり、パッチが適用されていない Windows 10 と Server システムを標的として、Windows リモート管理（WinRM）サービスに影響を及ぼします。セキュリティ研究者が脆弱性の POC コードをリリースし、先週、Microsoft 社の月例セキュリティ更新プログラムでパッチが適用されました。この脆弱性は、ユーザが Windows 10 システムで WinRM を手動で有効にした場合にのみ影響を及ぼしますが、エンタープライズ Windows Server エンドポイントではデフォルトで有効になっています。この脆弱性を利用してランサムウェアを拡散する攻撃者は、標的となる環境全体で即座に攻撃を仕掛けることができるため、攻撃対象領域が拡大する可能性があります。Microsoft 社は、影響を受ける製品をできるだけ早急にアップデートするようユーザに呼びかけています。

Snort SID：57605

件名：Google Chrome のヒープベースのバッファオーバーフローによるコード実行

説明：Cisco Talos はこのほど、Google Chrome にエクスプロイト可能なヒープベースのバッファオーバーフローの脆弱性を発見しました。CVE-2021-21160 は、Chrome の AudioDelay 機能に存在するバッファオーバーフローの脆弱性であり、攻撃者がリモートでコードを実行する可能性があります。攻撃者は、ユーザを騙して、細工された Chrome の HTML ページにアクセスさせる方法で、この脆弱性をエクスプロイトします。ヒープ操作によって攻撃者はこのヒープオーバーフローの脆弱性を完全に制御できるようになり、その結果、任意のコードが実行される可能性があります。

Snort SID：57057、57058

今週最も多く見られたマルウェアファイル

SHA 256：7263ec6afa49dcb11ab9e3ee7e453e26b9ba91c3f8a440bcab3b92048175eb33  

MD5：29c8ba0d89a9265c270985b02572e693

一般的なファイル名：29C8BA0D89A9265C270985B02572E693.mlw

偽装名：なし

検出名：W32.7263EC6AFA.smokeloader.in11.Talos

SHA 256：c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e

MD5：9a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名：ww31.exe

偽装名：なし

検出名：W32.GenericKD:Attribute.24ch.1201

SHA 256：e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd

MD5：8193b63313019b614d5be721c538486b

一般的なファイル名：SAService.exe

偽装名：SAService

検出名：PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256：d88b26b3699c3b02f8be712552185533d77d7866f1a9a723c1fbc40cdfc2287d

MD5：4dd358e4af31fb9bf83c2078cd874ff4

一般的なファイル名：smbscanlocal1805.exe

偽装名：なし

検出名：Auto.D88B26B369.241855.in07.Talos

SHA 256：8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9

MD5：34560233e751b7e95f155b6f61e7419a

一般的なファイル名：SAntivirusService.exe

偽装名：A n t i v i r u s S e r v i c e

検出名：PUA.Win.Dropper.Segurazo::tpd

最新情報を入手するには、Twitter で Talos をフォローしてください。Snort 、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら から『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちら からどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちら からご登録ください。

 

本稿は 2021 年 05 月 27 日に Talos Group のブログに投稿された「Threat Source newsletter (May 27, 2021)」の抄訳です。