Cisco Japan Blog

脅威情報ニュースレター(2021 年 7 月 22 日)

1 min read



Talos 読者の皆様、こんにちは。

休暇を取ったため、今回のニュースレターは 2 日前に編集しました。何か重要な情報を見逃していたら申し訳ありません。

ポッドキャスト『Beers with Talos(Talos とビールを)』の最新エピソードpopup_iconでは、国家容認のハッカー集団を再び取り上げています。過去のエピソードで、古き良き歌 Sea Shantypopup_icon(船乗りたちの労働歌)を話題にしたことがありましたが、今週は船を攻撃して積み荷を奪おうとする Privateer(私掠船)について語ります。

今回のエピソードで取り上げる「Privateer」とは、国家容認のハッカー集団のことです。新しいタイプの攻撃者であり、セキュリティコミュニティは国家が支援する攻撃者を一括りに語らないほうがよいでしょう。

今後予定されている Talos の公開イベント

Talos at BlackHat USA 2021popup_icon

開催日:7 月 31 日 〜 8 月 5 日

場所:バーチャルおよび Mandalay Bay Hotel and Resort(ネバダ州ラスベガス)

概要:今年はハイブリッド形式で開催される BlackHat カンファレンスで、Talos と Cisco Secure が主催するトーク、模擬討論、インシデント対応レッスンにぜひご参加ください。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • 米国と NATO 同盟国、Microsoft Exchange Server のゼロデイ攻撃に関して中国が支援するハッカー集団を公式に非難popup_icon。FBI は、攻撃者が使用することが知られている 50 の戦術、手法、手順(TTP)を詳細に説明した共同声明を発表しました。
  • Kaseya サプライチェーン攻撃の背後にいる REvil グループが影を潜めた後、被害者の多くが暗号化されたファイルの回復に手間取るpopup_icon。REvil に身代金を支払った企業が受け取った復号キーが機能しない事態も起きています。
  • セキュリティ研究者、イスラエルを拠点とする大規模なスパイウェア企業popup_iconを発見。某企業がスパイウェアを開発し、政府機関に販売していると報じられています。iPhone、Android、Mac、PC、クラウドアカウントに感染し、監視できるようにするスパイウェアとのことです。
  • Apple などの携帯電話メーカー、NSO Group がジャーナリストや活動家の携帯電話をハッキングしてスパイ行為を働いたpopup_iconとの報告を受け対応を迫られる。新たに公表された情報について WhatsApp の責任者は「インターネット上のセキュリティに対する警鐘」だと述べています。
  • 研究者らが新しい携帯電話について警告、「安全で検閲に強い」と右派のインフルエンサーが喧伝popup_icon。脆弱性のある端末を製造することで知られる海外メーカーの端末が再利用されている模様です。
  • Apple 社が先ごろ、iOS の Wi-Fi 接続におけるゼロデイ脆弱性にパッチを適用。同社は当初、サービス拒否の問題であると説明していましたが、研究者らはリモートコードの実行も可能になるpopup_iconと述べています。
  • 米国司法省、国家が支援する攻撃者の特定につながる情報に対して、最大 1,000 万ドルの報酬popup_iconを暗号通貨で提供。同省は、研究者が安全かつ匿名で情報を送信できるように、ダーク Web 上にレポートチャネルを新設しました。
  • 米国土安全保障省の新ガイドラインpopup_iconで、米国の重要なパイプラインに関する新しいセキュリティ基準が設けられる。新たな規定では、サイバーセキュリティの緊急時対応計画と復旧計画の策定をすべてのパイプライン事業者に義務付けています。
  • 人気メッセージアプリ WhatsApp、Android デバイスのクラウドバックアップ用の新しい暗号化設定をテストpopup_icon。ただし、ユーザは 64 文字のリカバリキーを忘れないようにする必要があります。

最近の注目すべきセキュリティ問題

件名:シスコが WSA、BPA の緊急の脆弱性にパッチを適用

説明:シスコの Web セキュリティアプライアンス(WSA)とビジネス プロセス オートメーション(BPA)に存在する複数の緊急の脆弱性により、攻撃者が権限を管理者レベルに昇格させる可能性があります。これにより、攻撃者が機密データにアクセスしたり、標的のシステムを乗っ取ったりする危険性があります。どちらの脆弱性も CVSS 重大度スコアは 10 点中 8.8 点です。攻撃者は、細工された HTTP メッセージを標的のシステムに送信することで、これらの脆弱性(CVE-2021-1574、CVE-2021-1576)をエクスプロイトする可能性があります。

参考資料:https://threatpost.com/cisco-bpa-wsa-bugs-cyberattacks/167654/popup_icon

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bpa-priv-esc-dgubwbH4popup_icon

Snort SID57882 〜 57887

件名:ForgeRock Access Management に緊急の脆弱性、攻撃が活発化popup_icon

説明:米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、ForgeRock 社の Access Management ソフトウェアで見つかったリモートコード実行の緊急の脆弱性を攻撃者がエクスプロイトしていることをユーザに警告しました。Access Management は、エンタープライズ ネットワークにおける Web アプリとリモートアクセス設定のフロントエンドとして機能します。ForgeRock 社はすでにパッチをリリースしていますが、CISA は同社とともに脆弱性が実際にエクスプロイトされていることをユーザに警告しました。攻撃者がこれらの脆弱性をエクスプロイトして、現在のユーザのコンテキストでコマンドを実行する可能性があります。

Snort SID57912、57913

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon 

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon 

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID001.exe

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:Antivirus Service

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 07 月 22 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for Oct. 1, 2020popup_icon」の抄訳です。

 

コメントを書く