Talos 読者の皆様、こんにちは。
セキュリティに関する今週最大のニュースは、新たに見つかった Microsoft のゼロデイ脆弱性です。PrintNightmare と複数の Exchange Server の脆弱性に続いて、Internet Explorer のレンダリングエンジンである MSHTML にコード実行の脆弱性が確認されました。
脆弱性のエクスプロイトからユーザを保護する新しい Snort ルールが本日公開されています。この脆弱性がエクスプロイトされると、攻撃者が標的のマシンを完全に制御できるようになる可能性があります。
今後予定されている Talos の公開イベント
講演者:Chris DiSalle
開催日:9 月 9 日
場所:バーチャル
概要:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて
講演者:Edmund Brumaghin
開催日:9 月 25 日
場所:バーチャル
概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、Talos が実際に確認した攻撃について詳しく取り上げ、これらのアプリを安全に使用する方法を説明します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- 米ホワイトハウスが今週、連邦政府機関に向けてサイバーセキュリティに対する新たなゼロトラストアプローチの新ガイドラインを発表。このガイドラインは、連邦機関が適切なアーキテクチャとポリシーを整備するためのロードマップであり、2024 年までのゼロトラストモデルの実現を目指しています。
- ドイツ、9 月の連邦議会選挙を前に、一連のサイバー攻撃とデマ攻撃についてロシア対して公式に抗議。ドイツ当局は、フィッシング攻撃によって連邦議会議員および州議会議員の個人情報を盗もうとしたとして、ハッカー集団 Ghostwriter を起訴しました。
- アイルランドの公的医療システム、ランサムウェア攻撃発生から数か月が経過した今も復旧に対応中。今も一部の患者はオンライン予約システムにアクセスできず、治療計画が中断されたままになっている患者もいます。
- 米国政府、ハリケーン「アイダ」に乗じた一連の詐欺とフィッシング攻撃について消費者に警告。米国南東部と北東部の州では、大規模な洪水と暴風からの復旧作業が続けられており、多くの人々が金融支援や保険金の支払いを求めています。
- ニュージーランドの銀行と郵便局の Web サイトが今週、サイバー攻撃を受けて一時的にダウン。当局は、分散型サービス拒否攻撃を受けた可能性があると発表しています。
- ワシントン DC のハワード大学、レイバーデーの週末にランサムウェア攻撃を受け、火曜日の授業を中止。対面式の授業は水曜日に再開されましたが、木曜日午前中のハイブリッド授業とオンライン授業は中止されました。
- セキュリティ研究者、アプリや Web サイトで偽のデジタルワクチンパスポートを表示する方法をすでに発見。ただし、これらのアプリの更新プログラムの提供には時間がかかっています。
- 食品サプライチェーンを標的とする攻撃が増加、今年複数のランサムウェア攻撃の被害を受けているのは食品業界。FBI の発表によると、食品業界では自動化が進んでいるため、攻撃者がエクスプロイト可能な脆弱性の数も増加しています。
最近の注目すべきセキュリティ問題
件名:Atlassian Confluence の脆弱性が攻撃の標的に
説明:米国サイバー軍はレイバーデーの週末の前に、Atlassian Confluence の脆弱性がエクスプロイトされていると国内の組織に警告しました。プロジェクト管理ソフトウェアを提供する Atlassian 社は、8 月にこの脆弱性を CVE-2021-26084 として公開しました。この脆弱性により、攻撃者が任意のコードをリモートで実行する危険性があります。パッチは 1 週間ほど前から利用可能になっており、サイバー軍は休日明けまで待たずに直ちにパッチを適用するようユーザに警告しています。Atlassian 社は、この問題を Atlassian Confluence Server と Confluence Data Center 製品の「OGNL インジェクションの脆弱性」と説明しています。認証されていない攻撃者がリモートで任意のコードを実行する危険性があります。CVE-2021-26084 の重大度スコアは 10 点中 9.8 点です。
Snort SID:58093、58094
説明:シスコは先週、Cisco Enterprise Network Function Virtualization Infrastructure Software(NFVIS)の「緊急」の脆弱性にパッチを適用しました。この脆弱性により、攻撃者が標的のシステムの管理者権限を取得する危険性があります。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は、すべてのユーザに対して、すぐにパッチを適用するように警告しました。シスコはセキュリティアドバイザリで、最新のパッチをダウンロードする以外に脆弱性のエクスプロイトから保護する回避策はないと説明しています。アドバイザリの内容は次のとおりです。「この脆弱性は、認証スクリプトに渡されるユーザ入力の検証が不完全であることに起因します。攻撃者は、認証要求にパラメータを挿入することで、この脆弱性をエクスプロイトする危険性があります。エクスプロイトに成功すると、攻撃者は認証をバイパスし、影響を受けるデバイスに管理者としてログインする可能性があります」
Snort SID:58097 〜 58099
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:6c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18
MD5:830ffb393ba8cca073a1c0b66af78de5
一般的なファイル名:smbscanlocal0902.exe
偽装名:なし
検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:5e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6af
MD5:0a13d106fa3997a0c911edd5aa0e147a
一般的なファイル名:mg20201223-1.exe
偽装名:なし
検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos
SHA 256:a10acc24581855565579bdf17d23989e67ef15343fdd2d9b6736c10be137c06c
MD5:de0d35c8d3f065ec997878b31a0cf365
一般的なファイル名:Quote request.exe
偽装名:なし
検出名:W32.A10ACC2458-95.SBX.TG
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 09 月 09 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 9, 2021)」の抄訳です。