Cisco Japan Blog

脅威情報ニュースレター(2021 年 7 月 8 日)

1 min read



Talos 読者の皆様、こんにちは。

セキュリティ業界はどこも似たような状況ですが、今週は Kaseya サプライチェーン攻撃の話題一色でした。昨日、考えられる限りのソーシャル メディア プラットフォームでライブ動画配信popup_iconを行いました。あらゆる人に向けて現在の状況について最新情報をお伝えするとともに、ユーザを保護し続けるための推奨事項を提供していますのでご覧になってください。

また、今回の攻撃と、これに関連するランサムウェア攻撃に関する最新のカバレッジについては、Talos のブログ記事でご確認いただけます。ブログ記事は、情報が入り次第随時更新します。

今後予定されている Talos の公開イベント

チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、オハイオ情報セキュリティフォーラム(OISF)年次総会にてpopup_icon

講演者:Edmund Brumaghin

開催日:2021 年 7 月 10 日

場所:オハイオ州デイトンの Miami Valley Research Park またはバーチャル

概要:コロナ禍でテレワークが一般的になる中、攻撃者の戦術は従業員のワークフローの変化を逆手に取ったものへと移っています。Discord や Slack などのコラボレーション プラットフォームを利用して検出を逃れ、組織の防御を回避しているのです。この講演では、Edmund がこうしたコラボレーションアプリを標的にした最近のマルウェア攻撃について解説します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • Kaseya 攻撃はランサムウェアグループの野心の高まりpopup_iconを示す最新の兆候。ほとんどの攻撃者が利用するのは既知の脆弱性です。一方、Kaseya 攻撃の背後にいるグループは Kaseya 社製ソフトウェアのゼロデイ脆弱性をエクスプロイトして 7,000 万ドルの身代金を要求しており、注目に値します。
  • メリーランド州のある小さな町では、Kaseya 攻撃発生後、コンピュータネットワークを完全にシャットダウンpopup_iconせざるを得ない事態に。当局によれば、2 台を除くすべてのマシンに侵入されていて、手動で復元するしかないとのことです。
  • Kaseya 攻撃で利用された脆弱性はセキュリティ研究者が 4 月に発見していたpopup_iconとの報道。残念ながら、同社は攻撃を仕掛けられる前にパッチをリリースすることができませんでした。
  • Google、悪意のある 9 本の Android アプリを Google Play ストアから削除popup_icon。ただし、これらのアプリはすでに 580 万回ダウンロードされていました。
  • Microsoft 社の印刷スプーラサービスの脆弱性、今週緊急のセキュリティ更新プログラムがリリースされたものの、依然としてエクスプロイト可能popup_icon。Microsoft 社は火曜日にセキュリティ更新プログラムをリリースしましたが、水曜日にはパッチを回避してエクスプロイトできることが判明しています。
  • 有名な国家支援型 APT グループの FancyBear、インターネット上でパスワードスプレー攻撃やブルートフォース攻撃を展開popup_icon。同グループは最近、SolarWinds サプライチェーン攻撃の実行犯として非難を浴びたばかりです。
  • 急成長中のソーシャルメディアアプリ「GETTR」、リリース後数週間でハッキング被害popup_iconに。マイク・ポンペオ元国務長官やマージョリー・テイラー・グリーン下院議員など多くのユーザの電子メールが大規模なデータスクレイピングによって流出しました。
  • ジョー・バイデン米大統領、Kaseya 社など米国の組織を狙った最近のランサムウェア攻撃に対して正式な対応popup_iconを検討開始。大統領は今週、サイバーセキュリティのトップエキスパートらとさまざまな選択肢を検討しました。ロシアのウラジミール・プーチン大統領との会談でランサムウェア攻撃者の撲滅について話し合ってから数週間後のことです。
  • リモートアクセス型トロイの木馬 WildPressure の背後にいる攻撃者、中東のユーザを標的に新しい Mac バージョンのマルウェアを開発popup_icon。インストールされると、WildPressure は攻撃実行者が用意したコマンドをダウンロードして実行し、被害者のマシンで機密情報を収集するほか、自身をアップグレードする可能性があります。
  • セキュリティ研究者が 170 本もの悪意のある Android アプリpopup_iconを発見。これらのアプリのダウンロードや不正なサブスクリプションによる被害額は推定で 35 万ドルにのぼるということです。

最近の注目すべきセキュリティ問題

件名:Kaseya サプライチェーン攻撃、何百もの企業に影響広がる

説明:複数の報道によると、攻撃者は Kaseya 社の VSA エンドポイント モニタリング ソフトウェアをエクスプロイトし、多数のマネージド サービス プロバイダー(MSP)を標的にしてサプライチェーン攻撃を広範に仕掛けています。多くの企業がシステムのオーケストレーションを一元化するために、Kaseya VSA を使用しています。攻撃者はまず、ソフトウェアに対する悪意のある自動更新によって標的を感染させ、最終的に REvil/Sodinokibi ランサムウェアを配信していました。ランサムウェアが標的の環境でアクティブになると、ネットワーク上のシステムのコンテンツを暗号化し、このソフトウェアを使用しているさまざまな組織の業務を広範囲に停止させます。REvil はサービスとしてのランサムウェア(RaaS)型攻撃であり、さまざまな戦術、手法、手順(TTP)を駆使して標的を感染させ、ランサムウェア攻撃を受けたシステムとデータへのアクセスを回復するためには身代金を支払うよう被害者に強要します。多くの場合、バックアップサーバもネットワークベースのランサムウェア攻撃の標的となるので、オフラインのバックアップとリカバリ戦略を定期的に検証することが重要です。テキストベースの README がシステムのさまざまなディレクトリに作成され、身代金要求メッセージを表示します。

参考:https://gblogs.cisco.com/jp/2021/07/talos-revil-ransomware-actors-attack-kaseya/

https://www.zdnet.com/article/kaseya-ransomware-supply-chain-attack-everything-you-need-to-know-updated/popup_icon

Cisco Secure Endpoint シグネチャ:Gen:Variant.Graftor.952042、W32.D55F983C99-100.SBX.TG、W32.File.MalParent、W32.RetroDetected

ClamAV シグネチャ:Win.Dropper.REvil-9875493-0、Win.Ransomware.REvil-9875494-0

クラウド IOCW32.PingPredicatedDel.ioc、W32.DisableRealtimeMonitoring.ioc、W32.CertutilDecodedExecutableFile.ioc、W32.CertUtilCopy.ioc

Snort SID57879

件名:Babuk ランサムウェアからコードが漏洩popup_icon

説明:Babuk ランサムウェアから漏洩したコードが攻撃に使用されています。セキュリティ研究者は先週、Babuk のランサムウェア ビルダー ツールが VirusTotal にアップロードされたことを確認しました。このコードを入手し、同梱の身代金要求文に自分の連絡先を書き加えてからビルドファイルを実行するだけで、誰もがカスタマイズ版ランサムウェア暗号化/復号化ツールを作成できます。Windows、VMware ESXi、Network Attached Storage(NAS)x86、NAS ARM デバイスが標的となります。今回の新たな攻撃者は Babuk の身代金要求文を意図的に変更しており、210 ドルしか身代金を要求していません。Babuk が通常要求する身代金は数百万ドルです。Babuk は、最近ワシントン D.C. の警察を攻撃の標的としたことで知られています。

Snort SID57873、57874

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2565807b6aed9040d1a605be638604177226d9eaed0cb260c45cef23abe6ed03fdfpopup_icon

MD51c573e6d61b111dedd8ad2e936710cef

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.Auto:5807b6aed9.in03.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 07 月 08 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (July 8, 2021)popup_icon」の抄訳です。

 

コメントを書く