Talos 読者の皆様、こんにちは。
Colonial Pipeline 社に対するサイバー攻撃の問題はほぼ解決し、今や過去の事件となりつつあります。しかし、事件の余波は消えることはありません。数年前から、米国の重要インフラを標的とした攻撃が次々に発生しています。直近に発生したのが Colonial Pipeline 社に対する攻撃ですが、こうした攻撃の動きがすぐに鈍ることはないでしょう。
Talos の研究者は、重要インフラを抱える組織がネットワークを保護するために取るべき一連の対策をまとめました。物理的な資産を保護し、人命を脅かす可能性のある攻撃を防ぐために政府が講じるべき措置についても言及しています。緊急事態の発生時やインシデント対応が必要となった場合は、Cisco Talos Incident Response(CTIR)のサービスをご利用いただけます。プロアクティブな対応や緊急時の対応はお任せください。
1 週間のサイバーセキュリティ概況
- NATO 事務局長、加盟国に対するサイバー攻撃は武力攻撃に相当する深刻な事態と見なす可能性に言及。同盟国の 1 つがサイバー攻撃の被害者となった場合に加盟国が防衛措置を取る可能性が生じています。
- ジョー・バイデン米大統領、水曜日にロシアのウラジミール・プーチン露大統領と待望の首脳会談を開催。両首脳はサイバーセキュリティの今後に関して議論を交わしたとされています。ただ、今回の対話が具体的な行動に結びつくのはまだ先のことになるでしょう。
- 実際のエクスプロイトが確認されている深刻な VMware の脆弱性に対し、数千人のユーザがパッチ未適用。最初に脆弱性情報が公開されてから数週間が経ちましたが、影響を受ける製品にパッチを適用するよう改めて警告が出されました。
- フィットネス企業 Peloton 社、エクササイズバイクのタッチスクリーンがエクスプロイトされる危険性があるとユーザに警告。エクササイズバイクのカメラとマイクを介して監視される危険性があります。なお、エクスプロイトするには USB デバイスを物理的に使用する必要があります。
- Android および iOS 向け Microsoft Defender が更新、ジェイルブレイクされたデバイスの検出機能など、新しいセキュリティ機能が追加。Android 版では、潜在的なマルウェアや不要なアプリのスキャンも可能です。
- ビデオゲーム会社 Electronic Art 社にサイバー攻撃、盗まれたソースコードがオンラインで販売されているとの報道。攻撃者とされる人物は、販売しているのは FIFA 21 のソースコードやその他の個人データであると主張しています。
- ウクライナ警察、ランサムウェア攻撃のハッカー集団 CLOP の関係者とされる複数の人物を逮捕。CLOP は、FTA の 4 つのゼロデイ脆弱性をエクスプロイトすることで知られています。最近では、食品チェーン Kroger 社など大手国際企業を標的にしています。
- ランサムウェア攻撃を受け身代金を支払った組織の 80% がその後再びサイバー攻撃を受けていたことが、最近のレポートにより判明。多くの場合、以前と同じ攻撃者によるものでした。また、調査の回答者の 66% がランサムウェア攻撃により収益に多大な損失があったと報告しています。
- VPN サービスや Telegram などの人気アプリをスパイしてイランの反体制派の追跡に利用。イランで収監されている人物のものに見せかけた偽の画像や動画を使用して被害者をだまし、マルウェアをダウンロードさせます。
最近の注目すべきセキュリティ問題
説明:イランの関与が疑われる APT が、ランサムウェアを装った新しいワイパーマルウェアを拡散しています。Agrius として知られるこのハッカー集団は、去る 11 月からサイバースパイ活動を行っていますが、最近になって、より破壊的なマルウェアを多用するようになりました。IPsec Helper というバックドアを使用して、ワイパーマルウェアを拡散します。このワイパーマルウェアはユーザのファイルを完全に削除しますが、身代金を引き出す目的で、データが盗まれ暗号化されていると被害者に伝えます。同集団はいくつかの脆弱性をエクスプロイトしますが、よく悪用するのは、Fortinet 社の FortiOS オペレーティングシステムに存在する固定長パストラバーサルの脆弱性です。CVE-2018-13379
Snort SID:57780 – 57782
件名:BazarLoader が偽の動画配信サイトを通じて拡散
説明:トロイの木馬 BazarLoader を拡散するハッカー集団が、新しく立ち上げた偽の動画配信サイトを利用して被害者を誘い込み、マルウェアをダウンロードさせています。攻撃者は、UrbanCinema という会社の新しいサービス「BravoMovies」を宣伝する電子メールをユーザに送信します。サイトでは本物の映画のポスターが使用され、配信サービスのように偽装されていますが、最終的には BazarLoader を参照するようになっています。BazarLoader は、他の悪意のあるファイルをダウンロードして実行するため一般的に使用されます。
Snort SID:57773
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名: ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:5524fee1bb95b3778857b414586611584794867c5fce1952d22dcba93c5cd243
MD5:f2c1aa209e185ed50bf9ae8161914954
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.5524FEE1BB.5A6DF6a61.auto.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 06 月 17 日に Talos Group のブログに投稿された「Threat Source newsletter (June 17, 2021)」の抄訳です。