Cisco Japan Blog

脅威情報ニュースレター(2021 年 8 月 19 日)

1 min read



Talos 読者の皆様、こんにちは。

休暇を取ったため、今回の記事は火曜日の朝に書いています(前にもこんなことがありました)。重要な情報を取りこぼしていたら申し訳ありません。 

メキシコのユーザを標的とするリモートアクセス型トロイの木馬 Neurevt に関する最新のブログ記事をどうぞお見逃しなく。主に銀行の Web サイトへのログイン情報を盗み出すマルウェアです。なぜ厄介なのかは説明するまでもないでしょう。

今後予定されている Talos の公開イベント

Technado ポッドキャストに CTIR が登場popup_icon

講演者:Chris DiSalle

開催日:9 月 9 日

場所:バーチャル

説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • タリバン、アフガニスタンの政権を奪取。明らかに今週最も重要な話題です。国家安全保障上の問題はいくつかありますが、サイバーセキュリティに影響が及ぶ可能性popup_iconについても考慮する必要があります。米国の高官と軍が出国したことで、国家機密情報が完全に無防備なままとなってしまっている可能性があります。
  • Colonial Pipeline 社に対する最近のランサムウェア攻撃の一環として、約 6,000 人の個人情報が盗まれるpopup_icon被害が発生。被害者は主に現従業員および元従業員とその家族であり、同社はデータ漏洩の通知を送ったとのことです。
  • サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の長官に就任して間もないジェン・イースタリー氏、最近のインタビューで、同庁は超党派であるべきpopup_iconと発言。さらに、2022 年の中間選挙と 2024 年の大統領選に先駆けて、偽情報に対抗するための超党派的解決策を編み出したいとも述べました。
  • ジム管理プラットフォーム Wodify、パッチ未適用の脆弱性popup_iconがセキュリティ研究者により発見。米国内の何千ものジムで使用されている Wodify が、ユーザの金融取引を操作、表示するためにエクスプロイトされる可能性があります。
  • T-Mobile 社、1 億人の顧客の個人情報を販売したという攻撃者の主張を受け、データ漏洩やサイバー攻撃の可能性を調査popup_iconしていると発表。3,000 万件の社会保障番号と運転免許証をはじめとするデータの対価として、ダーク Web の販売者が同社に対して 27 万ドル相当を要求しています。
  • Ford 社の Web サイトに脆弱性が存在、攻撃者が内部システムから顧客と従業員のレコードを閲覧できたpopup_icon可能性あり。同社のサーバで実行中の Pega Infinity のインスタンスに設定不備があり、そこからデータが漏れていたことが研究者により確認されました。
  • オハイオ州とウェストバージニア州の病院システムにランサムウェア攻撃popup_icon、従業員が社内 IT システムにアクセスできない事態に。複数の病院が多くの来院患者を断ったり手術を中止したりせざるを得なくなりました。
  • コンサルティング会社 Accenture、先週報告されたランサムウェア攻撃による同社や顧客への影響はなかったpopup_iconと報告。Lockbit ランサムウェアを展開する攻撃者は、「インサイダー」を介して同社から盗み出した膨大な量のデータを販売していると主張しています。
  • reCAPTCHA と CAPTCHA に似た他のソフトウェアpopup_icon、攻撃者が内部にフィッシングリンクやマルウェアを隠すために利用。CAPTCHA はフィッシングサイトを正規サイトに見せかけるのに役立ちます。また、マルウェアスキャナによるサイトの検出を阻止することもできます。

最近の注目すべきセキュリティ問題

件名:サイバー犯罪グループ Vice Society、最近のランサムウェア攻撃で PrintNightmare をエクスプロイト

説明:Cisco Talos インシデント対応チームの調査で、新たな攻撃者が Windows のプリントスプーラーサービスに存在する PrintNightmare という脆弱性(CVE-2021-1675/CVE-2021-34527)を矢継ぎ早にエクスプロイトし、被害者のネットワークに感染を広げていることが判明しました。これは最近のランサムウェア攻撃の一環です。過去の調査では、別の攻撃者が PrintNightmare の脆弱性をエクスプロイトしていたことが明かされていました。新たな攻撃者である Vice Society がこの脆弱性をエクスプロイトしたのは今回が初めてだと思われます。Talos インシデント対応チームの調査結果が示しているのは、この脆弱性が攻撃者からの注目を集めているということです。今後も続々と他の攻撃者に悪用され、攻撃に組み込まれる可能性があります。防御側にとって重要なのは、ランサムウェアの展開に至るまでの攻撃ライフサイクルを理解することです。PrintNightmare の最新パッチをまだ入手していない場合は、Microsoft 社からダウンロードしてください。

Snort SID57876, 57877

件名:ServHelper RAT:署名済み MSI ファイルと、マルウェア Raccoon / Amadey を利用した侵入メカニズム

説明:サイバー犯罪グループ TA505 の活動歴は、少なくとも 7 年に及びます。ランサムウェアに関与する他の犯罪グループと広いつながりを築き、クレジットカード番号を盗んだりデータ漏洩を引き起こしたりしてきました。TA505 が攻撃によく使うツールの 1 つが ServHelper です。6 月中旬、Cisco Talos は ServHelper のアクティビティの増加を検出しました。調査を行ったところ、このアクティビティと密接に関連している複数のマルウェアファミリと TTP が明らかになりました。ServHelper は 2019 年初めにはすでに存在していたマルウェアです。今回、ServHelper が他のマルウェアファミリを使用してインストールされていることを発見しました。インストールでは GoLang ドロッパーや .NET ドロッパー、PowerShell スクリプトが使用されます。通常、ServHelper を使った攻撃は犯罪グループ TA505 に関連付けられています。ただ、他にこの RAT を使うグループが存在する可能性も否定できません。

Snort SID57975

ClamAV シグネチャ:Win.Downloader.Powershell-9883640, Win.Trojan.Powershell-9883642, Win.Downloader.Powershell-9883641, Win.Downloader.ServHelper-9883708, Win.Downloader.Powershell-9883847, Win.Trojan.ServHelper-9883848, Win.Trojan.ServHelper-9883866, Win.Trojan.ServHelper-9883867

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon 

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 2565e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6afpopup_icon

MD50a13d106fa3997a0c911edd5aa0e147a

一般的なファイル名:mg20201223-1.exe

偽装名:なし

検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:AntivirusService

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2565191548b8edf4b98e623f055f5205e2db17aa220c28928b1da1c3a9ba1a75ee0popup_icon

MD5d54ade674cb0c3e6d322ed7380e8adf6

一般的なファイル名:ml20201223.exe

偽装名:なし

検出名:RanumBot::mURLin::GenericRXMW:Win32-tpd

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 08 月 19 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Aug. 19, 2021)popup_icon」の抄訳です。

 

コメントを書く