Cisco Japan Blog

脅威情報ニュースレター(2021 年 7 月 1 日)

1 min read



Talos 読者の皆様、こんにちは。

最近は米国のインフラのサイバーセキュリティ対策が大きな話題になっています。Colonial Pipeline 社や JBS 社への攻撃の後、産業を混乱させる次の大規模なランサムウェアの被害者にならないために何をすべきか、官民挙げて検討を行っています。

すべてに回答できるわけではありませんが、Talos の重要インフラの専門家が最近、米国でのセキュリティ パートナーシップの在り方を提案しています。その記事の執筆者の 1 人である Joe Marshall が先週、『Talos Takes』ポッドキャストに参加し、重要インフラのセキュリティと、運用・制御技術(OT)と情報技術(IT)がいかに深く関わっているかについて解説しています。

今後予定されている Talos の公開イベント

チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、オハイオ情報セキュリティフォーラム(OISF)年次総会にてpopup_icon

講演者:Edmund Brumaghin

開催日:2021 年 7 月 10 日

場所:オハイオ州デイトンの Miami Valley Research Park またはバーチャル

概要:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。この講演では、Edmund がこうしたコラボレーションアプリを標的にした最近のマルウェア攻撃について解説します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

件名:シスコがクロスサイト スクリプティングの脆弱性のエクスプロイトを警告

説明:シスコは今週、適応型セキュリティアプライアンス(ASA)ソフトウェアの脆弱性がエクスプロイトされていることをユーザに警告しました。シスコは 10 月に初めてこの脆弱性(CVE-2020-3580)を開示しました。しかし、概念実証が公開され、実際に使用されるようになったのは最近です。ASA は、企業ネットワークに脅威が侵入するのをブロックする境界防御アプライアンスです。攻撃者はこのクロスサイト スクリプティングの脆弱性(XSS)をエクスプロイトして、ASA のコンテキストで任意のコードを実行し、標的のネットワーク上で機密性の高いブラウザベースの情報を表示する可能性があります。XSS 攻撃では、攻撃者が悪意のあるスクリプトを信頼できる Web サイトに挿入します。ユーザは侵害された Web サイトにアクセスすると攻撃を受けます。

参考:https://threatpost.com/cisco-asa-bug-exploited-poc/167274/popup_icon

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-xss-multiple-FCB3vPZepopup_icon

Snort SID57856、57857

件名:Microsoft 社によって署名された DLL が APT によるコマンド & コントロールであることが確認されるpopup_icon

説明:セキュリティ研究者は最近、正規の DLL を装った悪意のあるルートキット Netfilter を発見しました。Microsoft 社は今週、ビデオゲームプレーヤの間で広まっている Netfilter に署名していたことを認めました。また、このドライバの開発者が Microsoft 社が署名したバイナリを正規の方法で取得しており、現在その方法を調査中であると述べました。Netfilter がインストールされると、最終的には中国を拠点とする複数のコマンド & コントロールサイトに接続しますが、正しい用途で使用される URL ではないようです。

Snort SID57864 〜 57871

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256d0c3e85195fb2782cff3de09de5003f37d9bdd351e7094a22dbf205966cc8c43popup_icon

MD51971fc3783aa6fa3c0efb1276dd1143c

一般的なファイル名:iRiNpQaAxCcNxPdKyG

偽装名:Segurazo Antivirus

検出名:PUA.Win.File.Segurazo::222360.in02

SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

VirusTotal

一般的なファイル名:Eternalblue-2.2.0.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 07 月 01 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (July 1, 2021)popup_icon」の抄訳です。

 

コメントを書く