Talos 読者の皆様、こんにちは。
最近は米国のインフラのサイバーセキュリティ対策が大きな話題になっています。Colonial Pipeline 社や JBS 社への攻撃の後、産業を混乱させる次の大規模なランサムウェアの被害者にならないために何をすべきか、官民挙げて検討を行っています。
すべてに回答できるわけではありませんが、Talos の重要インフラの専門家が最近、米国でのセキュリティ パートナーシップの在り方を提案しています。その記事の執筆者の 1 人である Joe Marshall が先週、『Talos Takes』ポッドキャストに参加し、重要インフラのセキュリティと、運用・制御技術(OT)と情報技術(IT)がいかに深く関わっているかについて解説しています。
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、オハイオ情報セキュリティフォーラム(OISF)年次総会にて
講演者:Edmund Brumaghin
開催日:2021 年 7 月 10 日
場所:オハイオ州デイトンの Miami Valley Research Park またはバーチャル
概要:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。この講演では、Edmund がこうしたコラボレーションアプリを標的にした最近のマルウェア攻撃について解説します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
件名:シスコがクロスサイト スクリプティングの脆弱性のエクスプロイトを警告
説明:シスコは今週、適応型セキュリティアプライアンス(ASA)ソフトウェアの脆弱性がエクスプロイトされていることをユーザに警告しました。シスコは 10 月に初めてこの脆弱性(CVE-2020-3580)を開示しました。しかし、概念実証が公開され、実際に使用されるようになったのは最近です。ASA は、企業ネットワークに脅威が侵入するのをブロックする境界防御アプライアンスです。攻撃者はこのクロスサイト スクリプティングの脆弱性(XSS)をエクスプロイトして、ASA のコンテキストで任意のコードを実行し、標的のネットワーク上で機密性の高いブラウザベースの情報を表示する可能性があります。XSS 攻撃では、攻撃者が悪意のあるスクリプトを信頼できる Web サイトに挿入します。ユーザは侵害された Web サイトにアクセスすると攻撃を受けます。
参考:https://threatpost.com/cisco-asa-bug-exploited-poc/167274/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-xss-multiple-FCB3vPZe
Snort SID:57856、57857
件名:Microsoft 社によって署名された DLL が APT によるコマンド & コントロールであることが確認される
説明:セキュリティ研究者は最近、正規の DLL を装った悪意のあるルートキット Netfilter を発見しました。Microsoft 社は今週、ビデオゲームプレーヤの間で広まっている Netfilter に署名していたことを認めました。また、このドライバの開発者が Microsoft 社が署名したバイナリを正規の方法で取得しており、現在その方法を調査中であると述べました。Netfilter がインストールされると、最終的には中国を拠点とする複数のコマンド & コントロールサイトに接続しますが、正しい用途で使用される URL ではないようです。
Snort SID:57864 〜 57871
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:d0c3e85195fb2782cff3de09de5003f37d9bdd351e7094a22dbf205966cc8c43
MD5:1971fc3783aa6fa3c0efb1276dd1143c
一般的なファイル名:iRiNpQaAxCcNxPdKyG
偽装名:Segurazo Antivirus
検出名:PUA.Win.File.Segurazo::222360.in02
SHA 256:85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5
MD5:8c80dd97c37525927c1e549cb59bcbf3
VirusTotal:
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
最新情報を入手するには、Twitter
本稿は 2021 年 07 月 01 日に Talos Group
のブログに投稿された「Threat Source newsletter (July 1, 2021) 」の抄訳です。
