Cisco Japan Blog

脅威情報ニュースレター(2021 年 10 月 21 日)

1 min read



Talos 読者の皆様、こんにちは。

今週は有給休暇を取る関係で水曜日に執筆しています。水曜日午後以降に何か重大なニュースが報じられてもこちらには掲載していませんのでご了承ください。 

月曜日に公開した素晴らしいライブストリーミングも併せてご覧いただければと思います。今回は Talos インシデント対応チームの Brad Garnett が登場し、チームの活動の基本を詳しく説明するとともに、ハイブリッドワークのヒントを提供しています。また視聴者の皆さんから寄せられた質問に直接答えています。

読み物をお探しであれば、インド亜大陸で発生しているサイバー攻撃の最新動向popup_iconについて新しい調査結果を公表しています。Talos は最近、インドとアフガニスタンで RAT を拡散させようとしている新しい攻撃者を確認しました。この攻撃に注意すべき理由と防御対策の最新情報を記事の中で説明していますのでぜひご覧ください。

今後予定されている Talos の公開イベント

復元力のあるインシデント対応:ランサムウェア攻撃をブロックする効果的戦略(SANS Cyber Solutions Festpopup_icon

講演者:Brad Garnett

開催日:10 月 22 日午前 8 時 30 分(米国東部時間)

場所:バーチャル

概要:このセッションでは、Talos インシデント対応チームのゼネラルマネージャを務める Brad Garnett が、ハイブリッドワークフォースを抱える CISO やビジネスリーダーに必ず役立つ実用的なインシデント対応戦略を披露します。ランサムウェアと最前線で戦って得た知見、既存のインシデント対応計画を再評価すべき理由、進化する攻撃に Talos が果敢に立ち向かっている様子を Brad が紹介します。

1 週間のサイバーセキュリティ概況

  • REvil ランサムウェアグループ、支払いポータルとデータリーク Web サイトが侵害され再び活動を停止popup_icon。同グループは数か月前にも、Kaseya サプライチェーン攻撃を行ったとして米国政府から非難された後に姿を消していました。
  • シンクレア ブロードキャスト グループがランサムウェア攻撃を受けpopup_icon、米国の地方テレビ局に混乱が広がる。月曜日午後の時点で、攻撃の全容はまだ分かっていないと同社は従業員に述べています。
  • Twitter、北朝鮮政府の支援を受けた攻撃者に関係すると思われる 2 つのアカウントを停止popup_icon。セキュリティ研究者を誘い込んで悪意のあるリンクをクリックさせようとしていたとみられます。
  • 米国の上下水道事業を標的とした攻撃popup_iconが増えていると米国政府が先週注意喚起。レポートでは、2020 年以降、これらの重要なインフラ事業が 3 回も大規模な攻撃の標的になったと指摘しています。
  • バイデン政権、暗号通貨の違法取引の取り締まりpopup_iconに向けた共同声明を先週発表。特にサイバー攻撃関連の取引を対象としており、ランサムウェアの支払いに都合がよい仮想通貨を取り扱う民間企業には制裁を課す可能性があるとの警告も含まれていました。
  • 米国の農村地域ではランサムウェア攻撃の危険性が特に高いことが明らかに。農村地域では IT 部署の準備が遅れているため、攻撃によって重要な住民サービスが何週間にもわたって停止する可能性があることが新しいプロファイリングによって判明popup_iconしました。
  • ランサムウェア攻撃を受けて身代金を支払った件数が現時点ですでに前年比 30% 増popup_icon。米国財務省の新しいレポートによると、2021 年上半期にランサムウェア攻撃を受けて支払われた身代金が 5 億 9,000 万ドルに上ることが判明しました。
  • エレクトロニクス企業 Acer 社、1 週間もたたずに 2 回目のサイバー攻撃popup_iconを受けたと発表。この 2 回の攻撃を行った攻撃者は、同社のデータセキュリティ対策が遅れていることを示したかったと語っています。
  • ドナルド・トランプ前大統領の Web サイトの一部popup_iconがトルコ出身と思われるハッカーにより改ざん。トルコのレジェップ・タイイップ・エルドアン大統領に関する肯定的なメッセージがサイトの一部で一時表示されました。

最近の注目すべきセキュリティ問題

DarkSide の後継ランサムウェアグループ、来週以降に攻撃を本格化かpopup_icon

BlackMatter ランサムウェアが主要な企業や公共部門を標的として攻撃してくる可能性について、米国の主要な政府機関が今週注意喚起しました。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、FBI、国家安全保障局は共同でアドバイザリを発表し、BlackMatter は今年初めに Colonial Pipeline 社を攻撃したことで知られるランサムウェアグループ DarkSide の後継グループである可能性が高いとの見解を示しました。アドバイザリでは、多要素認証を実装し、ログイン情報の設定についてはより強固なルールを制定して BlackMatter の攻撃に備えるよう企業に注意喚起しています。レポートによると、米国の 2 つの大手食品協同組合がすでにこのランサムウェアの標的になっています。

Snort SID58237、58238

ZTE MF971R LTE ルータで発見された複数の脆弱性

Cisco Talos はこのほど、ZTE MF971R LTE ポータブルルータに複数の脆弱性を発見しました。MF971R はポータブル Wi-Fi ルータであり、LTE/GSM モデムとして機能します。今回発見された脆弱性はすべて、攻撃者が細工された HTTP 要求を送信することによりエクスプロイトされる可能性があります。TALOS-2021-1320 と TALOS-2021-1321 はスタックベースのバッファオーバーフローの脆弱性です。エクスプロイトされると、攻撃者が標的デバイスで任意のリモートコードを実行する危険性があります。これらの脆弱性をエクスプロイトするにあたって、攻撃者は TALOS-2021-1317 で説明されているリファラチェックをバイパスする必要があります。TALOS-2021-1318 と TALOS-2021-1319 はクロスサイト スクリプティングの脆弱性です。攻撃者はこれを悪用して、ブラウザで任意の JavaScript を実行する可能性があります。エクスプロイトするには、攻撃者の管理下にあって、悪意のある HTTP 要求をホストしている URL をユーザに開かせる必要があります。

Snort SID57749 – 57752, 57798, 57799, 57802, 57803, 57829

今週最も多く見られたマルウェアファイル

SHA 256f0a5b257f16c4ccff520365ebc143f09ccf233e642bf540b5b90a2bbdb43d5b4popup_icon

MD584452e3633c40030e72c9375c8a3cacb

一般的なファイル名:sqhost.exe

偽装名:sqhost.exe

検出名:W32.Auto:f0a5b257f1.in03.Talos

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2popup_icon

MD5fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlBase.exe

偽装名:        SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2560e043149a1970990d0098bf986585bf2f224e4be7407348ff91efe89f8c5999cpopup_icon 

MD57b7e4f2878799268e9dd0a515420a88e

一般的なファイル名:S A Service.exe

偽装名:S_A_Service

検出名:W32.Auto:0e043149a1.in03.Talos

SHA 25633677846134841aa2541b5707102646aeedb1fc32a717a58e89a6ff69f0ef7bbpopup_icon 

MD5bdd455b064413ee7e1997bd10daa4904

一般的なファイル名:461502.exe

偽装名:なし

検出名:W32.3367784613-100.SBX.TG

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 10 月 21 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 21, 2021)popup_icon」の抄訳です。

 

コメントを書く