Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 7 月 15 日)


2021年7月28日

Talos 読者の皆様、こんにちは。

暗号通貨の価格は変動しやすくなっています。イーロン・マスク氏のツイートで Dogecoin の価格が乱高下することもあるのです。暗号通貨マイナーに最も人気のある Monero の価格は今年大きく変動しています。価格上昇を受け、暗号通貨マイナーを展開する攻撃者は増えているのでしょうか。

Talos はテレメトリと暗号通貨の価値に相関関係があるか調査してみました。

Microsoft 製品の更新はもうお済みですか。同社は今月、攻撃者が実際にエクスプロイトしている 3 件の脆弱性を公開しました(今月初めの PrintNightmare を加えると 4 件)。

今後予定されている Talos の公開イベント

Talos at BlackHat USA 2021popup_icon

開催日:7 月 31 日 〜 8 月 5 日

場所:バーチャルおよび Mandalay Bay Hotel and Resort(ネバダ州ラスベガス)

概要:今年はハイブリッド形式で開催される BlackHat カンファレンスで、Talos と Cisco Secure が主催するトーク、模擬討論、インシデント対応レッスンにぜひご参加ください。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • Kaseya 社に対する大規模なサプライチェーン攻撃の背後にいると考えられる攻撃者 REvil、インターネットから姿を消すpopup_icon。火曜日に REvil の Web サイトがなくなり、ダーク Web からも姿を消しました。交渉に使用されたページも削除されています。
  • 米上院、今週ついにサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の新長官にジェン・イースタリー氏を承認popup_icon。バイデン大統領の就任以来、このポストは空席でした。米国をはじめ世界全体がランサムウェアへの対応を迫られる中、同氏が波乱の時を迎えることは明らかです。
  • ノルウェーの Norsk Hydro 社、2019 年にランサムウェア攻撃を受けた際に身代金の支払い要求を拒否。ランサムウェアの標的となった企業が攻撃後に完全復旧とセキュリティの再強化を選択した場合に何が起きるのか、同社の復旧までの長い道のりpopup_iconが示しています。
  • イランの公共鉄道システムと関連交通機関の Web サイト、今週末にサイバー攻撃を受けるpopup_icon。列車の到着と出発をモニターする電子システムがダウンしたと報じられています。
  • ネットワークデバイス製造業 SonicWall 社が差し迫るランサムウェア攻撃についてユーザに警告popup_icon、漏洩した認証情報が攻撃に使用される。一部のユーザはデバイスのプラグを完全に外すよう勧告されています。
  • 攻撃対象のデバイスの一部はサポートが終了popup_icon、パッチの即時適用は期待できず。これらのデバイスの 1 つは 2016 年にサポートが終了していますが、今回の攻撃の影響を受けない新しいバージョンのファームウェアに更新できる可能性があります。
  • 米政府、攻撃者を暗号通貨から遮断するpopup_icon新しいイニシアチブを木曜日に発表。政府関係者は、暗号通貨の流れを追跡し、新たなマネーロンダリング防止ルールを導入するために、暗号通貨交換所と新たなパートナーシップを構築しているとの声明を出しています。
  • 衣料品小売 Guess 社、DarkSide のランサムウェア攻撃popup_iconによって顧客の個人情報が盗まれたことを発表。流出したのは、社会保障番号、パスポート番号、運転免許証情報などで、支払い情報は盗まれていないと見られます。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、セキュリティ更新プログラム(月例)において PrintNightmare にパッチを適用

説明:Microsoft 社は月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 117 件の脆弱性についての情報を公開しました。これは、今年に入ってから最多の件数です。最も注目していただきたいのは、印刷スプーラ機能に存在する「PrintNightmare」という脆弱性を修正するパッチがリリースされた点です。エクスプロイトされると、攻撃者がリモートコードを実行する危険性があります。この脆弱性は 4 月に初めて公開されましたが、その後セキュリティ研究者は当初考えていたよりも深刻な方法でエクスプロイトされる可能性があることを発見しました。Microsoft 社は今月初めにアウトオブバンドの修正プログラムをリリースして対処しようとしましたが、この脆弱性は依然としてエクスプロイトされる可能性があります。Microsoft 社によると、印刷スプーラの脆弱性以外にも、攻撃者が実際にエクスプロイトした脆弱性が 1 件ありました。CVE-2021-34448 は、スクリプトエンジンに存在するメモリ破損の脆弱性です。電子メールに添付されている、あるいは侵害された Web サイトでホストされている細工されたファイルをユーザが開くとトリガーされます。

参考:https://gblogs.cisco.com/jp/2021/07/talos-printnightmare-coverage/

https://gblogs.cisco.com/jp/2021/07/talos-microsoft-patch-tuesday-for-july-2021/

Snort SID57890、57891、57894 〜 57897、57906 〜 57910

件名:Kaseya 社、ランサムウェア攻撃者によりエクスプロイトされる脆弱性に対してパッチをリリース

説明:何百もの組織がランサムウェア攻撃などの被害に対処している中、セキュリティ業界は引き続き Kaseya VSA に対するサプライチェーン攻撃の話題一色でした。Kaseya 社は、リモート モニタリング ソフトウェア用のパッチをリリースしました。攻撃者がこのソフトウェアをエクスプロイトして認証をバイパスし、リモートコードを実行する可能性があります。この攻撃の背後にいるランサムウェアグループ REvil は、ユニバーサル復号化キーの身代金として 7,000 万ドルを要求しています。現在のパッチはオンプレミスの顧客のみに適用されます。Kaseya 社はユーザと協力して修正に取り組んでいますが、Software as a Service バージョンの VSA を使用しているユーザは、影響を受けるサーバをシャットダウンすることをお勧めします。

参考:https://gblogs.cisco.com/jp/2021/07/talos-revil-ransomware-actors-attack-kaseya/

https://www.zdnet.com/article/kaseya-issues-patch-for-on-premise-customers-saas-rollout-underway/popup_icon

Cisco Secure Endpoint シグネチャ:Gen:Variant.Graftor.952042、W32.D55F983C99-100.SBX.TG、W32.File.MalParent、W32.RetroDetected

ClamAV シグネチャ:Win.Dropper.REvil-9875493-0、Win.Ransomware.REvil-9875494-0

クラウド IOCW32.PingPredicatedDel.ioc、W32.DisableRealtimeMonitoring.ioc、W32.CertutilDecodedExecutableFile.ioc、W32.CertUtilCopy.ioc

Snort SID57879

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID001.exe

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 07 月 15 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (July 15, 2021)popup_icon」の抄訳です。

 

Tags:
コメントを書く