Talos 読者の皆様、こんにちは。
今週は複数のブログ記事にて、最新情報をお届けしました。
まず火曜日には、Talos として初めてプロキシウェア(インターネット共有アプリケーションとも呼ばれる)について触れました。プロキシウェアは人気のある新分野のソフトウェアであり、それに便乗した攻撃者は、ユーザの帯域幅と金銭を盗み出すべくマルウェアを拡散させています。プロキシウェアのユーザが稼げるのは実際に 1 日数円程度です。こうした少額でも一部の人はプライバシーとセキュリティを犠牲にすることを示す、格好の例だと言えます。
また別の記事では、流出した Conti ランサムウェア ハンドブックを入手し、英語に翻訳したものをご紹介しました。Conti はランサムウェアをサービスとして提供するハッカー集団です。ブログ記事では、その活動内容やハンドブック全体の英語版についてお読みいただけます。
今後予定されている Talos の公開イベント
講演者:Chris DiSalle
開催日:9 月 9 日
場所:バーチャル
説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて
講演者:Edmund Brumaghin
開催日:9 月 25 日
場所:バーチャル
概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、私たちが実際に確認した攻撃について詳しく取り上げ、ユーザがこれらのアプリを安全に使用する方法について解説します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- 複数の米ハイテク大手の CEO、今後数年間で数十億ドルを米国のサイバーセキュリティに投資すると表明。ジョー・バイデン大統領は先週、基幹インフラを狙った最近の攻撃について経営トップやサイバーセキュリティ企業と面談しました。
- T-Mobile 社を狙った最近のサイバー攻撃で、21 歳の人物による犯行の可能性が浮上。この人物はウォールストリート ジャーナル紙に匿名で電話をかけ、数百万件の顧客情報を盗んだと主張したうえで、T-Mobile 社のセキュリティ態勢を批判しています。
- Microsoft Azure のクラウドプラットフォームについて、データベースレコードの読み書きや改ざんを可能にする重大な脆弱性をセキュリティ研究者が発見。この脆弱性は公開されたばかりですが、数ヵ月から数年にわたって存在してきた可能性があります。
- Microsoft 社と米国国土安全保障省、上記の脆弱性から保護するために、できるだけ早く必要な更新をするよう Azure ユーザに警告。同社は当初、特定ユーザに通知しましたが、最終的にはすべてのユーザに対してセキュリティキーをリセットするように求めています。
- 新しい調査では、61% の企業が、テレワーカーに適切なサイバーセキュリティツールを提供していないと回答。また回答者の半数は、コロナ禍が始まって以来、セキュリティポリシーを緩和している、またはあまり適用していないと述べています。
- 「労働者の日」(9 月 6 日)の 3 連休でサイバー攻撃が急増する可能性があるとして、米国政府機関が警告。これまでも攻撃者は、従業員の多くが休暇で不在になる(または業務が手薄になる)連休を狙ってマルウェアを拡散させてきました。
- Apple Wallet に保存できる運転免許証などのデジタル身分証について、まずアリゾナとジョージアの 2 州でテストすると Apple 社が発表。また運輸保安局は、デジタル身分証に特化したチェックポイントとセキュリティレーンを空港に新設する予定です。
- ボットネット「Mozi」は作成者が最近逮捕されたにもかかわらず、今後も存在し続けると予想される。セキュリティの専門家によると、すでに多数のデバイスに感染しているため、今後数週間でその規模は縮小しても影響力は長期的に残る見込みです。
- 電子メールシステムのハッキングにつながった不完全なサイバーセキュリティ対策について、米国証券取引委員会(SEC)は複数の証券会社に罰金を科すと発表。SEC によれば、各社の不完全なサイバーセキュリティ対策が原因で、クラウドベースの電子メールアカウントに攻撃者が不正アクセスし、何千人もの顧客情報が漏洩しました。
最近の注目すべきセキュリティ問題
タイトル:プロキシウェアを攻撃者が利用する手口
説明:攻撃者は、Honeygain や Nanowire などのインターネット共有プラットフォーム(プロキシウェア)を悪用して収益化する新たな方法を見つけ出しています。これは組織にとって新たな課題となります。特に危ないのはインターネットセキュリティが一般家庭と同レベルの組織ですが、データセンターのインターネット共有を可能にするプラットフォームも存在するため、あらゆる組織がリスクにさらされる可能性があります。攻撃者はこうした新たなプラットフォームを収益化するために複数の手段を使用しています。最も分かりやすい手段は、プロキシウェアのクライアントを密かにインストールし、標的が気付かないうちに帯域幅を「販売」するというものです。攻撃者がクライアントにパッチを適用し、標的に警告するアラートを停止させる事例も確認されています。プロキシウェアの人気が高まるにつれて、攻撃者はトロイの木馬化されたインストーラを利用するようになりました。これは正規のプロキシウェアクライアントもインストールしますが、それだけではありません。デジタル通貨マイナーと情報窃盗マルウェアも紛れ込ませるのです。プロキシウェアというサービスの性質上、ユーザはパフォーマンスが低下することを予期しているため、デジタル通貨マイナーが動作していても気付かれない可能性が高いと考えられます。
Snort SID:45549、46237、58030 ~ 58033
Cisco Secure Endpoint Osquery:malware_honeygain_trojanized_installer、malware_honeygain_loader、malware_honeygain_bot
タイトル:Realnet チップセットで脆弱性が見つかった件で、影響を受けるルータをスキャンするボットネットが登場
説明:Realtek チップセットの SDK に影響を与えるサービス拒否の脆弱性が最近公開されました。これを受けて「Mirai」に類似したボットネットが登場し、影響を受けるワイヤレスルータを活発にスキャンしています。この脆弱性では、細工された入力が送信されると、管理インターフェイスを提供する HTTP サーバ(そして最終的にはルータ本体)がクラッシュする危険性があります。セキュリティ研究者は今回のボットネットを「Dark.IoT」と呼んでいます。ボットネットは、脆弱性の概念実証が研究者や組織から公開されるのを待っているようです。その情報が公開された後は、わずか数日でボットネットにも組み込まれると考えられます。Realtek 社の製品では、他の脆弱性が 2 週間前に公開されています。これらの脆弱性では、インターネット接続型のカメラや Wi-Fi リピータなど、多数の IoT デバイスが影響を受けます。
Snort SID:58052 ~ 58059
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:5e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6af
MD5:0a13d106fa3997a0c911edd5aa0e147a
一般的なファイル名:mg20201223-1.exe
偽装名:なし
検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 09 月 02 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 2, 2021)」の抄訳です。