Talos 読者の皆様、こんにちは。
休暇を取ったため、今回のニュースレターは 2 日前に編集しました。何か重要な情報を見逃していたら申し訳ありません。
ポッドキャスト『Beers with Talos(Talos とビールを)』の最新エピソードでは、国家容認のハッカー集団を再び取り上げています。過去のエピソードで、古き良き歌 Sea Shanty(船乗りたちの労働歌)を話題にしたことがありましたが、今週は船を攻撃して積み荷を奪おうとする Privateer(私掠船)について語ります。
今回のエピソードで取り上げる「Privateer」とは、国家容認のハッカー集団のことです。新しいタイプの攻撃者であり、セキュリティコミュニティは国家が支援する攻撃者を一括りに語らないほうがよいでしょう。
今後予定されている Talos の公開イベント
開催日:7 月 31 日 〜 8 月 5 日
場所:バーチャルおよび Mandalay Bay Hotel and Resort(ネバダ州ラスベガス)
概要:今年はハイブリッド形式で開催される BlackHat カンファレンスで、Talos と Cisco Secure が主催するトーク、模擬討論、インシデント対応レッスンにぜひご参加ください。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- 米国と NATO 同盟国、Microsoft Exchange Server のゼロデイ攻撃に関して中国が支援するハッカー集団を公式に非難。FBI は、攻撃者が使用することが知られている 50 の戦術、手法、手順(TTP)を詳細に説明した共同声明を発表しました。
- Kaseya サプライチェーン攻撃の背後にいる REvil グループが影を潜めた後、被害者の多くが暗号化されたファイルの回復に手間取る。REvil に身代金を支払った企業が受け取った復号キーが機能しない事態も起きています。
- セキュリティ研究者、イスラエルを拠点とする大規模なスパイウェア企業を発見。某企業がスパイウェアを開発し、政府機関に販売していると報じられています。iPhone、Android、Mac、PC、クラウドアカウントに感染し、監視できるようにするスパイウェアとのことです。
- Apple などの携帯電話メーカー、NSO Group がジャーナリストや活動家の携帯電話をハッキングしてスパイ行為を働いたとの報告を受け対応を迫られる。新たに公表された情報について WhatsApp の責任者は「インターネット上のセキュリティに対する警鐘」だと述べています。
- 研究者らが新しい携帯電話について警告、「安全で検閲に強い」と右派のインフルエンサーが喧伝。脆弱性のある端末を製造することで知られる海外メーカーの端末が再利用されている模様です。
- Apple 社が先ごろ、iOS の Wi-Fi 接続におけるゼロデイ脆弱性にパッチを適用。同社は当初、サービス拒否の問題であると説明していましたが、研究者らはリモートコードの実行も可能になると述べています。
- 米国司法省、国家が支援する攻撃者の特定につながる情報に対して、最大 1,000 万ドルの報酬を暗号通貨で提供。同省は、研究者が安全かつ匿名で情報を送信できるように、ダーク Web 上にレポートチャネルを新設しました。
- 米国土安全保障省の新ガイドラインで、米国の重要なパイプラインに関する新しいセキュリティ基準が設けられる。新たな規定では、サイバーセキュリティの緊急時対応計画と復旧計画の策定をすべてのパイプライン事業者に義務付けています。
- 人気メッセージアプリ WhatsApp、Android デバイスのクラウドバックアップ用の新しい暗号化設定をテスト。ただし、ユーザは 64 文字のリカバリキーを忘れないようにする必要があります。
最近の注目すべきセキュリティ問題
件名:シスコが WSA、BPA の緊急の脆弱性にパッチを適用
説明:シスコの Web セキュリティアプライアンス(WSA)とビジネス プロセス オートメーション(BPA)に存在する複数の緊急の脆弱性により、攻撃者が権限を管理者レベルに昇格させる可能性があります。これにより、攻撃者が機密データにアクセスしたり、標的のシステムを乗っ取ったりする危険性があります。どちらの脆弱性も CVSS 重大度スコアは 10 点中 8.8 点です。攻撃者は、細工された HTTP メッセージを標的のシステムに送信することで、これらの脆弱性(CVE-2021-1574、CVE-2021-1576)をエクスプロイトする可能性があります。
参考資料:https://threatpost.com/cisco-bpa-wsa-bugs-cyberattacks/167654/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bpa-priv-esc-dgubwbH4
Snort SID:57882 〜 57887
件名:ForgeRock Access Management に緊急の脆弱性、攻撃が活発化
説明:米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、ForgeRock 社の Access Management ソフトウェアで見つかったリモートコード実行の緊急の脆弱性を攻撃者がエクスプロイトしていることをユーザに警告しました。Access Management は、エンタープライズ ネットワークにおける Web アプリとリモートアクセス設定のフロントエンドとして機能します。ForgeRock 社はすでにパッチをリリースしていますが、CISA は同社とともに脆弱性が実際にエクスプロイトされていることをユーザに警告しました。攻撃者がこれらの脆弱性をエクスプロイトして、現在のユーザのコンテキストでコマンドを実行する可能性があります。
Snort SID:57912、57913
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:Antivirus Service
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 07 月 22 日に Talos Group のブログに投稿された「Threat Source newsletter for Oct. 1, 2020」の抄訳です。