Talos 読者の皆様、こんにちは。
暗号通貨の価格は変動しやすくなっています。イーロン・マスク氏のツイートで Dogecoin の価格が乱高下することもあるのです。暗号通貨マイナーに最も人気のある Monero の価格は今年大きく変動しています。価格上昇を受け、暗号通貨マイナーを展開する攻撃者は増えているのでしょうか。
Talos はテレメトリと暗号通貨の価値に相関関係があるか調査してみました。
Microsoft 製品の更新はもうお済みですか。同社は今月、攻撃者が実際にエクスプロイトしている 3 件の脆弱性を公開しました(今月初めの PrintNightmare を加えると 4 件)。
今後予定されている Talos の公開イベント
開催日:7 月 31 日 〜 8 月 5 日
場所:バーチャルおよび Mandalay Bay Hotel and Resort(ネバダ州ラスベガス)
概要:今年はハイブリッド形式で開催される BlackHat カンファレンスで、Talos と Cisco Secure が主催するトーク、模擬討論、インシデント対応レッスンにぜひご参加ください。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- Kaseya 社に対する大規模なサプライチェーン攻撃の背後にいると考えられる攻撃者 REvil、インターネットから姿を消す。火曜日に REvil の Web サイトがなくなり、ダーク Web からも姿を消しました。交渉に使用されたページも削除されています。
- 米上院、今週ついにサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の新長官にジェン・イースタリー氏を承認。バイデン大統領の就任以来、このポストは空席でした。米国をはじめ世界全体がランサムウェアへの対応を迫られる中、同氏が波乱の時を迎えることは明らかです。
- ノルウェーの Norsk Hydro 社、2019 年にランサムウェア攻撃を受けた際に身代金の支払い要求を拒否。ランサムウェアの標的となった企業が攻撃後に完全復旧とセキュリティの再強化を選択した場合に何が起きるのか、同社の復旧までの長い道のりが示しています。
- イランの公共鉄道システムと関連交通機関の Web サイト、今週末にサイバー攻撃を受ける。列車の到着と出発をモニターする電子システムがダウンしたと報じられています。
- ネットワークデバイス製造業 SonicWall 社が差し迫るランサムウェア攻撃についてユーザに警告、漏洩した認証情報が攻撃に使用される。一部のユーザはデバイスのプラグを完全に外すよう勧告されています。
- 攻撃対象のデバイスの一部はサポートが終了、パッチの即時適用は期待できず。これらのデバイスの 1 つは 2016 年にサポートが終了していますが、今回の攻撃の影響を受けない新しいバージョンのファームウェアに更新できる可能性があります。
- 米政府、攻撃者を暗号通貨から遮断する新しいイニシアチブを木曜日に発表。政府関係者は、暗号通貨の流れを追跡し、新たなマネーロンダリング防止ルールを導入するために、暗号通貨交換所と新たなパートナーシップを構築しているとの声明を出しています。
- 衣料品小売 Guess 社、DarkSide のランサムウェア攻撃によって顧客の個人情報が盗まれたことを発表。流出したのは、社会保障番号、パスポート番号、運転免許証情報などで、支払い情報は盗まれていないと見られます。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、セキュリティ更新プログラム(月例)において PrintNightmare にパッチを適用
説明:Microsoft 社は月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 117 件の脆弱性についての情報を公開しました。これは、今年に入ってから最多の件数です。最も注目していただきたいのは、印刷スプーラ機能に存在する「PrintNightmare」という脆弱性を修正するパッチがリリースされた点です。エクスプロイトされると、攻撃者がリモートコードを実行する危険性があります。この脆弱性は 4 月に初めて公開されましたが、その後セキュリティ研究者は当初考えていたよりも深刻な方法でエクスプロイトされる可能性があることを発見しました。Microsoft 社は今月初めにアウトオブバンドの修正プログラムをリリースして対処しようとしましたが、この脆弱性は依然としてエクスプロイトされる可能性があります。Microsoft 社によると、印刷スプーラの脆弱性以外にも、攻撃者が実際にエクスプロイトした脆弱性が 1 件ありました。CVE-2021-34448 は、スクリプトエンジンに存在するメモリ破損の脆弱性です。電子メールに添付されている、あるいは侵害された Web サイトでホストされている細工されたファイルをユーザが開くとトリガーされます。
参考:https://gblogs.cisco.com/jp/2021/07/talos-printnightmare-coverage/
https://gblogs.cisco.com/jp/2021/07/talos-microsoft-patch-tuesday-for-july-2021/
Snort SID:57890、57891、57894 〜 57897、57906 〜 57910
件名:Kaseya 社、ランサムウェア攻撃者によりエクスプロイトされる脆弱性に対してパッチをリリース
説明:何百もの組織がランサムウェア攻撃などの被害に対処している中、セキュリティ業界は引き続き Kaseya VSA に対するサプライチェーン攻撃の話題一色でした。Kaseya 社は、リモート モニタリング ソフトウェア用のパッチをリリースしました。攻撃者がこのソフトウェアをエクスプロイトして認証をバイパスし、リモートコードを実行する可能性があります。この攻撃の背後にいるランサムウェアグループ REvil は、ユニバーサル復号化キーの身代金として 7,000 万ドルを要求しています。現在のパッチはオンプレミスの顧客のみに適用されます。Kaseya 社はユーザと協力して修正に取り組んでいますが、Software as a Service バージョンの VSA を使用しているユーザは、影響を受けるサーバをシャットダウンすることをお勧めします。
参考:https://gblogs.cisco.com/jp/2021/07/talos-revil-ransomware-actors-attack-kaseya/
https://www.zdnet.com/article/kaseya-issues-patch-for-on-premise-customers-saas-rollout-underway/
Cisco Secure Endpoint シグネチャ:Gen:Variant.Graftor.952042、W32.D55F983C99-100.SBX.TG、W32.File.MalParent、W32.RetroDetected
ClamAV シグネチャ:Win.Dropper.REvil-9875493-0、Win.Ransomware.REvil-9875494-0
クラウド IOC:W32.PingPredicatedDel.ioc、W32.DisableRealtimeMonitoring.ioc、W32.CertutilDecodedExecutableFile.ioc、W32.CertUtilCopy.ioc
Snort SID:57879
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 07 月 15 日に Talos Group のブログに投稿された「Threat Source newsletter (July 15, 2021)」の抄訳です。