Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 9 月 2 日)


2021年9月21日

Talos 読者の皆様、こんにちは。

今週は複数のブログ記事にて、最新情報をお届けしました。

まず火曜日には、Talos として初めてプロキシウェア(インターネット共有アプリケーションとも呼ばれる)について触れました。プロキシウェアは人気のある新分野のソフトウェアであり、それに便乗した攻撃者は、ユーザの帯域幅と金銭を盗み出すべくマルウェアを拡散させています。プロキシウェアのユーザが稼げるのは実際に 1 日数円程度です。こうした少額でも一部の人はプライバシーとセキュリティを犠牲にすることを示す、格好の例だと言えます。

また別の記事では、流出した Conti ランサムウェア ハンドブックを入手し、英語に翻訳したものをご紹介しました。Conti はランサムウェアをサービスとして提供するハッカー集団です。ブログ記事では、その活動内容やハンドブック全体の英語版についてお読みいただけます。

今後予定されている Talos の公開イベント

Technado ポッドキャストに CTIR が登場popup_icon

講演者:Chris DiSalle

開催日:9 月 9 日

場所:バーチャル

説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。

チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて

講演者:Edmund Brumaghin

開催日:9 月 25 日

場所:バーチャル

概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、私たちが実際に確認した攻撃について詳しく取り上げ、ユーザがこれらのアプリを安全に使用する方法について解説します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • 複数の米ハイテク大手の CEO、今後数年間で数十億ドルpopup_iconを米国のサイバーセキュリティに投資すると表明。ジョー・バイデン大統領は先週、基幹インフラを狙った最近の攻撃について経営トップやサイバーセキュリティ企業と面談しました。
  • T-Mobile 社を狙った最近のサイバー攻撃で、21 歳の人物による犯行の可能性が浮上popup_icon。この人物はウォールストリート ジャーナル紙に匿名で電話をかけ、数百万件の顧客情報を盗んだと主張したうえで、T-Mobile 社のセキュリティ態勢を批判しています。
  • Microsoft Azure のクラウドプラットフォームについて、データベースレコードの読み書きや改ざんを可能にする重大な脆弱性popup_iconをセキュリティ研究者が発見。この脆弱性は公開されたばかりですが、数ヵ月から数年にわたって存在してきた可能性があります。
  • Microsoft 社と米国国土安全保障省、上記の脆弱性から保護するために、できるだけ早く必要な更新をするよう Azure ユーザに警告popup_icon。同社は当初、特定ユーザに通知しましたが、最終的にはすべてのユーザに対してセキュリティキーをリセットするように求めています。
  • 新しい調査では、61% の企業が、テレワーカーに適切なサイバーセキュリティツールを提供していないpopup_iconと回答。また回答者の半数は、コロナ禍が始まって以来、セキュリティポリシーを緩和している、またはあまり適用していないと述べています。
  • 「労働者の日」(9 月 6 日)の 3 連休でサイバー攻撃が急増する可能性があるpopup_iconとして、米国政府機関が警告。これまでも攻撃者は、従業員の多くが休暇で不在になる(または業務が手薄になる)連休を狙ってマルウェアを拡散させてきました。
  • Apple Wallet に保存できる運転免許証などのデジタル身分証popup_iconについて、まずアリゾナとジョージアの 2 州でテストすると Apple 社が発表。また運輸保安局は、デジタル身分証に特化したチェックポイントとセキュリティレーンを空港に新設する予定です。
  • ボットネット「Mozi」は作成者が最近逮捕されたにもかかわらず、今後も存在し続けると予想されるpopup_icon。セキュリティの専門家によると、すでに多数のデバイスに感染しているため、今後数週間でその規模は縮小しても影響力は長期的に残る見込みです。
  • 電子メールシステムのハッキングにつながった不完全なサイバーセキュリティ対策について、米国証券取引委員会(SEC)は複数の証券会社に罰金を科すとpopup_icon発表。SEC によれば、各社の不完全なサイバーセキュリティ対策が原因で、クラウドベースの電子メールアカウントに攻撃者が不正アクセスし、何千人もの顧客情報が漏洩しました。

最近の注目すべきセキュリティ問題

タイトル:プロキシウェアを攻撃者が利用する手口

説明:攻撃者は、Honeygain や Nanowire などのインターネット共有プラットフォーム(プロキシウェア)を悪用して収益化する新たな方法を見つけ出しています。これは組織にとって新たな課題となります。特に危ないのはインターネットセキュリティが一般家庭と同レベルの組織ですが、データセンターのインターネット共有を可能にするプラットフォームも存在するため、あらゆる組織がリスクにさらされる可能性があります。攻撃者はこうした新たなプラットフォームを収益化するために複数の手段を使用しています。最も分かりやすい手段は、プロキシウェアのクライアントを密かにインストールし、標的が気付かないうちに帯域幅を「販売」するというものです。攻撃者がクライアントにパッチを適用し、標的に警告するアラートを停止させる事例も確認されています。プロキシウェアの人気が高まるにつれて、攻撃者はトロイの木馬化されたインストーラを利用するようになりました。これは正規のプロキシウェアクライアントもインストールしますが、それだけではありません。デジタル通貨マイナーと情報窃盗マルウェアも紛れ込ませるのです。プロキシウェアというサービスの性質上、ユーザはパフォーマンスが低下することを予期しているため、デジタル通貨マイナーが動作していても気付かれない可能性が高いと考えられます。

Snort SID45549、46237、58030 ~ 58033

Cisco Secure Endpoint Osquerymalware_honeygain_trojanized_installer、malware_honeygain_loader、malware_honeygain_bot

タイトル:Realnet チップセットで脆弱性が見つかった件で、影響を受けるルータをスキャンするボットネットが登場popup_icon

説明:Realtek チップセットの SDK に影響を与えるサービス拒否の脆弱性が最近公開されました。これを受けて「Mirai」に類似したボットネットが登場し、影響を受けるワイヤレスルータを活発にスキャンしています。この脆弱性では、細工された入力が送信されると、管理インターフェイスを提供する HTTP サーバ(そして最終的にはルータ本体)がクラッシュする危険性があります。セキュリティ研究者は今回のボットネットを「Dark.IoT」と呼んでいます。ボットネットは、脆弱性の概念実証が研究者や組織から公開されるのを待っているようです。その情報が公開された後は、わずか数日でボットネットにも組み込まれると考えられます。Realtek 社の製品では、他の脆弱性が 2 週間前に公開されています。これらの脆弱性では、インターネット接続型のカメラや Wi-Fi リピータなど、多数の IoT デバイスが影響を受けます。

Snort SID58052 ~ 58059

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon 

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon 

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eter.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon 

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2565e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6afpopup_icon

MD50a13d106fa3997a0c911edd5aa0e147a

一般的なファイル名:mg20201223-1.exe

偽装名:なし

検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 09 月 02 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 2, 2021)popup_icon」の抄訳です。

 

Tags:
コメントを書く