Talos 読者の皆様、こんにちは。
最近は米国のインフラのサイバーセキュリティ対策が大きな話題になっています。Colonial Pipeline 社や JBS 社への攻撃の後、産業を混乱させる次の大規模なランサムウェアの被害者にならないために何をすべきか、官民挙げて検討を行っています。
すべてに回答できるわけではありませんが、Talos の重要インフラの専門家が最近、米国でのセキュリティ パートナーシップの在り方を提案しています。その記事の執筆者の 1 人である Joe Marshall が先週、『Talos Takes』ポッドキャストに参加し、重要インフラのセキュリティと、運用・制御技術(OT)と情報技術(IT)がいかに深く関わっているかについて解説しています。
今後予定されている Talos の公開イベント
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、オハイオ情報セキュリティフォーラム(OISF)年次総会にて
講演者:Edmund Brumaghin
開催日:2021 年 7 月 10 日
場所:オハイオ州デイトンの Miami Valley Research Park またはバーチャル
概要:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。この講演では、Edmund がこうしたコラボレーションアプリを標的にした最近のマルウェア攻撃について解説します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- Microsoft 社のプリントスプーラ機能にリモートコード実行の脆弱性「PrintNightmare」が発覚。Microsoft 社は先月初めてパッチを適用しましたが、概念実証コードの公開後、この脆弱性が予想よりも深刻であることが今週判明しました。Snort ルール 57876 および 57877 によりこの脆弱性から保護されます。
- SolarWinds サプライチェーン攻撃を仕掛けたハッカー集団が Microsoft 社のサポートシステムに不正アクセス。Microsoft 社は、ハッカー集団 Nobelium が「少数の顧客の基本的なアカウント情報」にアクセスしたことを発表しました。
- Nobelium がデンマーク中央銀行のネットワークに侵入、7 ヵ月近く潜伏していたとの報道。SolarWinds の広範囲に及ぶ脆弱性が最初の侵入ポイントとして使用されたと報じられています。
- ダークウェブフォーラムで 7 億人を超える LinkedIn ユーザの情報が販売される。LinkedIn 社は、自社のネットワークは侵害されておらず、単にデータスクレイピングの被害であると発表しています。
- 米国エネルギー省、重要インフラのセキュリティ強化のために、2022 年度予算として前年度比 15% 増の 2 億 100 万ドルを要請。同省長官は上院の委員会で、最近の Colonial Pipeline 社に対するサイバー攻撃により、「電力部門とは異なり、パイプラインにはサイバー攻撃に関する基準がない」ことが明らかになったと発言しています。
- ドイツは今週、国内のデータサービスプロバイダに対するサイバー攻撃を阻止したと発表、重要インフラと銀行を狙った攻撃については否定。当局者は、攻撃は「犯罪目的」である可能性が高く、防御側は潜在的な被害を最小限に抑えたと述べています。
- 欧州の法執行機関、多くのサイバー犯罪者が利用する DoubleVPN をサービス停止に追い込む。DoubleVPN のドメインはユーザが保持していた情報とともに押収されました。攻撃者は身元を隠すために DoubleVPN を広く使用していました。
- 米上院、ジョー・バイデン大統領の就任から 5 ヵ月が経過し、2 週間の休会を前にしてもなお、サイバーセキュリティ インフラストラクチャ セキュリティ庁長官を未承認。バイデン大統領は 4 月に国家安全保障局元高官ジェン・イースタリー氏を新長官に指名しています。
最近の注目すべきセキュリティ問題
件名:シスコがクロスサイト スクリプティングの脆弱性のエクスプロイトを警告
説明:シスコは今週、適応型セキュリティアプライアンス(ASA)ソフトウェアの脆弱性がエクスプロイトされていることをユーザに警告しました。シスコは 10 月に初めてこの脆弱性(CVE-2020-3580)を開示しました。しかし、概念実証が公開され、実際に使用されるようになったのは最近です。ASA は、企業ネットワークに脅威が侵入するのをブロックする境界防御アプライアンスです。攻撃者はこのクロスサイト スクリプティングの脆弱性(XSS)をエクスプロイトして、ASA のコンテキストで任意のコードを実行し、標的のネットワーク上で機密性の高いブラウザベースの情報を表示する可能性があります。XSS 攻撃では、攻撃者が悪意のあるスクリプトを信頼できる Web サイトに挿入します。ユーザは侵害された Web サイトにアクセスすると攻撃を受けます。
参考:https://threatpost.com/cisco-asa-bug-exploited-poc/167274/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-xss-multiple-FCB3vPZe
Snort SID:57856、57857
件名:Microsoft 社によって署名された DLL が APT によるコマンド & コントロールであることが確認される
説明:セキュリティ研究者は最近、正規の DLL を装った悪意のあるルートキット Netfilter を発見しました。Microsoft 社は今週、ビデオゲームプレーヤの間で広まっている Netfilter に署名していたことを認めました。また、このドライバの開発者が Microsoft 社が署名したバイナリを正規の方法で取得しており、現在その方法を調査中であると述べました。Netfilter がインストールされると、最終的には中国を拠点とする複数のコマンド & コントロールサイトに接続しますが、正しい用途で使用される URL ではないようです。
Snort SID:57864 〜 57871
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:d0c3e85195fb2782cff3de09de5003f37d9bdd351e7094a22dbf205966cc8c43
MD5:1971fc3783aa6fa3c0efb1276dd1143c
一般的なファイル名:iRiNpQaAxCcNxPdKyG
偽装名:Segurazo Antivirus
検出名:PUA.Win.File.Segurazo::222360.in02
SHA 256:85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5
MD5:8c80dd97c37525927c1e549cb59bcbf3
VirusTotal:
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 07 月 01 日に Talos Group のブログに投稿された「Threat Source newsletter (July 1, 2021)」の抄訳です。