Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 9 月 9 日)


2021年9月22日

Talos 読者の皆様、こんにちは。

セキュリティに関する今週最大のニュースは、新たに見つかった Microsoft のゼロデイ脆弱性です。PrintNightmare と複数の Exchange Server の脆弱性に続いて、Internet Explorer のレンダリングエンジンである MSHTML にコード実行の脆弱性popup_iconが確認されました。 

脆弱性のエクスプロイトからユーザを保護する新しい Snort ルールが本日公開popup_iconされています。この脆弱性がエクスプロイトされると、攻撃者が標的のマシンを完全に制御できるようになる可能性があります。

今後予定されている Talos の公開イベント

Technado ポッドキャストに CTIR が登場popup_icon

講演者:Chris DiSalle

開催日:9 月 9 日

場所:バーチャル

概要:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。

チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて

講演者:Edmund Brumaghin

開催日:9 月 25 日

場所:バーチャル

概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、Talos が実際に確認した攻撃について詳しく取り上げ、これらのアプリを安全に使用する方法を説明します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • 米ホワイトハウスが今週、連邦政府機関に向けてサイバーセキュリティに対する新たなゼロトラストアプローチpopup_iconの新ガイドラインを発表。このガイドラインは、連邦機関が適切なアーキテクチャとポリシーを整備するためのロードマップであり、2024 年までのゼロトラストモデルの実現を目指しています。
  • ドイツ、9 月の連邦議会選挙を前に、一連のサイバー攻撃とデマ攻撃popup_iconについてロシア対して公式に抗議。ドイツ当局は、フィッシング攻撃によって連邦議会議員および州議会議員の個人情報を盗もうとしたとして、ハッカー集団 Ghostwriter を起訴しました。
  • アイルランドの公的医療システム、ランサムウェア攻撃発生から数か月が経過した今も復旧に対応中popup_icon。今も一部の患者はオンライン予約システムにアクセスできず、治療計画が中断されたままになっている患者もいます。
  • 米国政府、ハリケーン「アイダ」に乗じた一連の詐欺とフィッシング攻撃popup_iconについて消費者に警告。米国南東部と北東部の州では、大規模な洪水と暴風からの復旧作業が続けられており、多くの人々が金融支援や保険金の支払いを求めています。
  • ニュージーランドの銀行と郵便局の Web サイトが今週、サイバー攻撃を受けて一時的にダウンpopup_icon。当局は、分散型サービス拒否攻撃を受けた可能性があると発表しています。
  • ワシントン DC のハワード大学、レイバーデーの週末にランサムウェア攻撃を受け、火曜日の授業を中止popup_icon。対面式の授業は水曜日に再開されましたが、木曜日午前中のハイブリッド授業とオンライン授業は中止されました。
  • セキュリティ研究者、アプリや Web サイトで偽のデジタルワクチンパスポートを表示popup_iconする方法をすでに発見。ただし、これらのアプリの更新プログラムの提供には時間がかかっています。
  • 食品サプライチェーンを標的とする攻撃が増加popup_icon、今年複数のランサムウェア攻撃の被害を受けているのは食品業界。FBI の発表によると、食品業界では自動化が進んでいるため、攻撃者がエクスプロイト可能な脆弱性の数も増加しています。

最近の注目すべきセキュリティ問題

件名:Atlassian Confluence の脆弱性が攻撃の標的にpopup_icon

説明:米国サイバー軍はレイバーデーの週末の前に、Atlassian Confluence の脆弱性がエクスプロイトされていると国内の組織に警告しました。プロジェクト管理ソフトウェアを提供する Atlassian 社は、8 月にこの脆弱性を CVE-2021-26084 として公開しました。この脆弱性により、攻撃者が任意のコードをリモートで実行する危険性があります。パッチは 1 週間ほど前から利用可能になっており、サイバー軍は休日明けまで待たずに直ちにパッチを適用するようユーザに警告しています。Atlassian 社は、この問題を Atlassian Confluence Server と Confluence Data Center 製品の「OGNL インジェクションの脆弱性」と説明しています。認証されていない攻撃者がリモートで任意のコードを実行する危険性があります。CVE-2021-26084 の重大度スコアは 10 点中 9.8 点です。

Snort SID58093、58094

件名:シスコ、攻撃者が管理者として認証される脆弱性を公開popup_icon

説明:シスコは先週、Cisco Enterprise Network Function Virtualization Infrastructure Software(NFVIS)の「緊急」の脆弱性にパッチを適用しました。この脆弱性により、攻撃者が標的のシステムの管理者権限を取得する危険性があります。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は、すべてのユーザに対して、すぐにパッチを適用するように警告しました。シスコはセキュリティアドバイザリで、最新のパッチをダウンロードする以外に脆弱性のエクスプロイトから保護する回避策はないと説明しています。アドバイザリの内容は次のとおりです。「この脆弱性は、認証スクリプトに渡されるユーザ入力の検証が不完全であることに起因します。攻撃者は、認証要求にパラメータを挿入することで、この脆弱性をエクスプロイトする危険性があります。エクスプロイトに成功すると、攻撃者は認証をバイパスし、影響を受けるデバイスに管理者としてログインする可能性があります」

Snort SID58097 〜 58099

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2566c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18popup_icon

MD5830ffb393ba8cca073a1c0b66af78de5

一般的なファイル名:smbscanlocal0902.exe

偽装名:なし

検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2565e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6afpopup_icon

MD50a13d106fa3997a0c911edd5aa0e147a

一般的なファイル名:mg20201223-1.exe

偽装名:なし

検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos

SHA 256a10acc24581855565579bdf17d23989e67ef15343fdd2d9b6736c10be137c06cpopup_icon

MD5de0d35c8d3f065ec997878b31a0cf365

一般的なファイル名:Quote request.exe

偽装名:なし

検出名:W32.A10ACC2458-95.SBX.TG

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 09 月 09 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 9, 2021)popup_icon」の抄訳です。

 

Tags:
コメントを書く