Cisco Japan Blog

脅威情報ニュースレター(2021 年 7 月 29 日)

1 min read



Talos 読者の皆様、こんにちは。

昨日は、ビジネスメール詐欺について取り上げたライブ配信にご参加いただき、ありがとうございました。ライブ配信を見逃した方は、YouTube ページで録画をご覧いただけますpopup_icon。Talos アウトリーチチームの Nick Biasini が、ビジネスメール詐欺を回避して、こうした悪意のある攻撃を検出できるよう、優れたアドバイスを提供しています。

短い方がよろしければ、先週の Talos Takes のエピソードをお聴きください。

また今週は、情報窃取プログラムでありキーロガーでもある Solarmarker に関する新たな調査を公開popup_iconしました。この脅威の成長ぶりと Cisco Secure 製品を使用した防御方法について説明しています。

今後予定されている Talos の公開イベント

Talos at BlackHat USA 2021popup_icon

開催日:7 月 31 日 〜 8 月 5 日

場所:バーチャルおよび Mandalay Bay Hotel and Resort(ネバダ州ラスベガス)

概要:今年はハイブリッド形式で開催される BlackHat カンファレンスで、Talos と Cisco Secure が主催するトーク、模擬討論、インシデント対応レッスンにぜひご参加ください。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • 複数の政府が、NSO Group のスパイウェア「Pegasus」購入popup_iconのために大掛かりな取り組みを行っていたことが、セキュリティ研究者とプライバシー擁護団体によって明らかに。ジャーナリスト、活動家、政治家を監視下に置くために Pegasus が使用されたとのことです。
  • 今回の報告を受け、前二政権が合計 6,100 万ドルを Pegasus 購入に充てていたpopup_iconことをメキシコ政府が公表。契約には、政府関係者へのリベートとみられる金額が上乗せされていました。
  • Pegasus に関する報告を受け、自分もスパイウェアの被害を受けているのではないかと多くのユーザが懸念。スパイウェアを回避する方法は多数popup_iconあります。明らかなソーシャル エンジニアリング メッセージを避けること、中間者攻撃のテストを行うこと、新しくリリースされたオープンソースのソフトウェアを使用してスパイウェアをチェックすることなどです。
  • ジョー・バイデン米大統領が新しい大統領令に署名popup_icon、重要インフラ運営企業を対象とした自主的なサイバーセキュリティ目標の策定を連邦政府機関に指示。9 月下旬までに暫定的な目標を定め、年末までにはセクター横断的な基準を別途定めるよう求めています。
  • ランサムウェア「Death Kitty」、南アフリカの複数の港に対する攻撃に関連popup_icon。先週後半に発生した一連の攻撃により、港湾運営会社はコンテナターミナルで不可抗力の事態が発生したことを宣言、貨物処理を手動に切り替えざるを得なくなりました。
  • Apple 社、今週 macOS、iPadOS、iOS のアップデートを公開popup_icon。修正された脆弱性の中には、攻撃者が積極的にエクスプロイトを仕掛けていたものもあります。最も深刻な脆弱性がエクスプロイトされると、カーネル権限で任意のコードが実行される危険性があります。
  • Kaseya 社、最近同社のユーザが多数被害を受けた REvil ランサムウェア攻撃の復号化ツールを入手popup_icon。同社によれば、このキーは「信頼できるサードパーティ」から取得したもので、使用すれば身代金を支払うことなく失ったファイルを取り戻すことができます。
  • 米国と一部同盟国が共同作成したアドバイザリで、2020 年と 2021 年に特にエクスプロイトされることが多かった脆弱性popup_iconについて概説。これまでのところ、今年最も標的になりやすいのは脆弱な Microsoft Exchange Server です。

最近の注目すべきセキュリティ問題

件名:トロイの木馬 Trickbot、スパイ用の新モジュールを携えて復活popup_icon

説明:Trickbot については、昨年テイクダウンが試みられました。しかし、Trickbot に関係のあるコマンド & コントロール(C2)トラフィックが増加していることが、セキュリティ研究者により確認されています。このボットネットには、監視とインテリジェンス収集に使用される「vncDll」モジュールの新しいバージョンも搭載されています。モジュールは度々更新されているとみられ、バグ修正と機能追加が行われています。現在では、標的のデスクトップをミラーリングした仮想デスクトップを作成し、画面を監視して情報を盗み出せるようになっています。また従来からある Trickbot の機能も健在です。新たなペイロードをダウンロードして追加の攻撃を実行し、標的のドキュメントと電子メールを開いて C2 にデータをアップロードします。

Snort SID57948 〜 57950

件名:マルウェア Shlayer が未だに偽の Flash アップデートを利用popup_icon

説明:Adobe 社は Flash Player のサポートを終了していますが、依然として Flash Player が攻撃に利用されています。Shlayer マルウェアの背後にいる攻撃者は、ユーザをだまして悪意のあるリンクをクリックさせるため、macOS ユーザに偽の Flash Player 更新通知を送信します。マルウェアのインストールには、ユーザが悪意のあるファイルをダウンロードする必要があります。Shlayer は、これまで少なくとも 3 年間にわたり macOS ユーザを標的にしてきた有名なマルウェアです。Shlayer がインストールされると、被害を受けたマシンにアドウェアが導入されます。また最終的には、別のペイロード(通常はこちらもアドウェア)が取得されます。

Snort SID57919、57920

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon 

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 256f0a5b257f16c4ccff520365ebc143f09ccf233e642bf540b5b90a2bbdb43d5b4popup_icon 

MD584452e3633c40030e72c9375c8a3cacb

一般的なファイル名:sqhost.exe

偽装名:なし

検出名:W32.Auto:f0a5b257f1.in03.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256302f58da597128551858e8d53229340941457cad6729af0d306ebfa18a683769popup_icon 

MD539e14b83d48ab362c9a5e03f885f5669

一般的なファイル名:SqlServerWorks.Runner.exe

偽装名:SqlServerWorks.Runner

検出名:W32.302F58DA59-95.SBX.TG

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon から『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 07 月 29 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (July 29, 2021)popup_icon」の抄訳です。

コメントを書く