Cisco Japan Blog

脅威情報ニュースレター(2021 年 6 月 17 日)

1 min read



Talos 読者の皆様、こんにちは。

Colonial Pipeline 社に対するサイバー攻撃の問題はほぼ解決し、今や過去の事件となりつつあります。しかし、事件の余波は消えることはありません。数年前から、米国の重要インフラを標的とした攻撃が次々に発生しています。直近に発生したのが Colonial Pipeline 社に対する攻撃ですが、こうした攻撃の動きがすぐに鈍ることはないでしょう。

Talos の研究者は、重要インフラを抱える組織がネットワークを保護するために取るべき一連の対策をまとめました。物理的な資産を保護し、人命を脅かす可能性のある攻撃を防ぐために政府が講じるべき措置についても言及しています。緊急事態の発生時やインシデント対応が必要となった場合は、Cisco Talos Incident Response(CTIR)popup_iconのサービスをご利用いただけます。プロアクティブな対応や緊急時の対応はお任せください。

1 週間のサイバーセキュリティ概況

  • NATO 事務局長、加盟国に対するサイバー攻撃は武力攻撃に相当する深刻な事態と見なす可能性popup_iconに言及。同盟国の 1 つがサイバー攻撃の被害者となった場合に加盟国が防衛措置を取る可能性が生じています。
  • ジョー・バイデン米大統領、水曜日にロシアのウラジミール・プーチン露大統領と待望の首脳会談を開催popup_icon。両首脳はサイバーセキュリティの今後に関して議論を交わしたとされています。ただ、今回の対話が具体的な行動に結びつくのはまだ先のことになるでしょう。
  • 実際のエクスプロイトが確認されている深刻な VMware の脆弱性popup_iconに対し、数千人のユーザがパッチ未適用popup_icon。最初に脆弱性情報が公開されてから数週間が経ちましたが、影響を受ける製品にパッチを適用するよう改めて警告が出されました。
  • フィットネス企業 Peloton 社、エクササイズバイクのタッチスクリーンがエクスプロイトされる危険性があるpopup_iconとユーザに警告。エクササイズバイクのカメラとマイクを介して監視される危険性があります。なお、エクスプロイトするには USB デバイスを物理的に使用する必要があります。
  • Android および iOS 向け Microsoft Defender が更新、ジェイルブレイクされたデバイスの検出機能など、新しいセキュリティ機能が追加popup_icon。Android 版では、潜在的なマルウェアや不要なアプリのスキャンも可能です。
  • ビデオゲーム会社 Electronic Art 社にサイバー攻撃、盗まれたソースコードがオンラインで販売されているpopup_iconとの報道。攻撃者とされる人物は、販売しているのは FIFA 21 のソースコードやその他の個人データであると主張しています。
  • ウクライナ警察、ランサムウェア攻撃のハッカー集団 CLOP の関係者とされる複数の人物を逮捕popup_icon。CLOP は、FTA の 4 つのゼロデイ脆弱性をエクスプロイトすることで知られています。最近では、食品チェーン Kroger 社など大手国際企業を標的にしています。
  • ランサムウェア攻撃を受け身代金を支払った組織の 80% がその後再びサイバー攻撃を受けていたpopup_iconことが、最近のレポートにより判明。多くの場合、以前と同じ攻撃者によるものでした。また、調査の回答者の 66% がランサムウェア攻撃により収益に多大な損失があったと報告しています。
  • VPN サービスや Telegram などの人気アプリをスパイしてイランの反体制派の追跡popup_iconに利用。イランで収監されている人物のものに見せかけた偽の画像や動画を使用して被害者をだまし、マルウェアをダウンロードさせます。

最近の注目すべきセキュリティ問題

件名:ランサムウェアを装ったワイパーを新たに検出popup_icon

説明:イランの関与が疑われる APT が、ランサムウェアを装った新しいワイパーマルウェアを拡散しています。Agrius として知られるこのハッカー集団は、去る 11 月からサイバースパイ活動を行っていますが、最近になって、より破壊的なマルウェアを多用するようになりました。IPsec Helper というバックドアを使用して、ワイパーマルウェアを拡散します。このワイパーマルウェアはユーザのファイルを完全に削除しますが、身代金を引き出す目的で、データが盗まれ暗号化されていると被害者に伝えます。同集団はいくつかの脆弱性をエクスプロイトしますが、よく悪用するのは、Fortinet 社の FortiOS オペレーティングシステムに存在する固定長パストラバーサルの脆弱性です。CVE-2018-13379

Snort SID57780 – 57782

件名:BazarLoader が偽の動画配信サイトを通じて拡散popup_icon

説明:トロイの木馬 BazarLoader を拡散するハッカー集団が、新しく立ち上げた偽の動画配信サイトを利用して被害者を誘い込み、マルウェアをダウンロードさせています。攻撃者は、UrbanCinema という会社の新しいサービス「BravoMovies」を宣伝する電子メールをユーザに送信します。サイトでは本物の映画のポスターが使用され、配信サービスのように偽装されていますが、最終的には BazarLoader を参照するようになっています。BazarLoader は、他の悪意のあるファイルをダウンロードして実行するため一般的に使用されます。

Snort SID57773

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

 SHA 2565524fee1bb95b3778857b414586611584794867c5fce1952d22dcba93c5cd243popup_icon

MD5f2c1aa209e185ed50bf9ae8161914954

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigatorBrowser

検出名:W32.5524FEE1BB.5A6DF6a61.auto.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 06 月 17 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (June 17, 2021)popup_icon」の抄訳です。

 

コメントを書く