脅威情報ニュースレター(2021 年 10 月 21 日)
Talos 読者の皆様、こんにちは。
今週は有給休暇を取る関係で水曜日に執筆しています。水曜日午後以降に何か重大なニュースが報じられてもこちらには掲載していませんのでご了承ください。
月曜日に公開した素晴らしいライブストリーミングも併せてご覧いただければと思います。今回は Talos インシデント対応チームの Brad Garnett が登場し、チームの活動の基本を詳しく説明するとともに、ハイブリッドワークのヒントを提供しています。また視聴者の皆さんから寄せられた質問に直接答えています。
読み物をお探しであれば、インド亜大陸で発生しているサイバー攻撃の最新動向
について新しい調査結果を公表しています。Talos は最近、インドとアフガニスタンで RAT を拡散させようとしている新しい攻撃者を確認しました。この攻撃に注意すべき理由と防御対策の最新情報を記事の中で説明していますのでぜひご覧ください。
今後予定されている Talos の公開イベント
復元力のあるインシデント対応:ランサムウェア攻撃をブロックする効果的戦略(SANS Cyber Solutions Fest)
講演者:Brad Garnett
開催日:10 月 22 日午前 8 時 30 分(米国東部時間)
場所:バーチャル
概要:このセッションでは、Talos インシデント対応チームのゼネラルマネージャを務める Brad Garnett が、ハイブリッドワークフォースを抱える CISO やビジネスリーダーに必ず役立つ実用的なインシデント対応戦略を披露します。ランサムウェアと最前線で戦って得た知見、既存のインシデント対応計画を再評価すべき理由、進化する攻撃に Talos が果敢に立ち向かっている様子を Brad が紹介します。
1 週間のサイバーセキュリティ概況
- REvil ランサムウェアグループ、支払いポータルとデータリーク Web サイトが侵害され再び活動を停止。同グループは数か月前にも、Kaseya サプライチェーン攻撃を行ったとして米国政府から非難された後に姿を消していました。
- シンクレア ブロードキャスト グループがランサムウェア攻撃を受け、米国の地方テレビ局に混乱が広がる。月曜日午後の時点で、攻撃の全容はまだ分かっていないと同社は従業員に述べています。
- Twitter、北朝鮮政府の支援を受けた攻撃者に関係すると思われる 2 つのアカウントを停止。セキュリティ研究者を誘い込んで悪意のあるリンクをクリックさせようとしていたとみられます。
- 米国の上下水道事業を標的とした攻撃が増えていると米国政府が先週注意喚起。レポートでは、2020 年以降、これらの重要なインフラ事業が 3 回も大規模な攻撃の標的になったと指摘しています。
- バイデン政権、暗号通貨の違法取引の取り締まりに向けた共同声明を先週発表。特にサイバー攻撃関連の取引を対象としており、ランサムウェアの支払いに都合がよい仮想通貨を取り扱う民間企業には制裁を課す可能性があるとの警告も含まれていました。
- 米国の農村地域ではランサムウェア攻撃の危険性が特に高いことが明らかに。農村地域では IT 部署の準備が遅れているため、攻撃によって重要な住民サービスが何週間にもわたって停止する可能性があることが新しいプロファイリングによって判明しました。
- ランサムウェア攻撃を受けて身代金を支払った件数が現時点ですでに前年比 30% 増。米国財務省の新しいレポートによると、2021 年上半期にランサムウェア攻撃を受けて支払われた身代金が 5 億 9,000 万ドルに上ることが判明しました。
- エレクトロニクス企業 Acer 社、1 週間もたたずに 2 回目のサイバー攻撃を受けたと発表。この 2 回の攻撃を行った攻撃者は、同社のデータセキュリティ対策が遅れていることを示したかったと語っています。
- ドナルド・トランプ前大統領の Web サイトの一部がトルコ出身と思われるハッカーにより改ざん。トルコのレジェップ・タイイップ・エルドアン大統領に関する肯定的なメッセージがサイトの一部で一時表示されました。
最近の注目すべきセキュリティ問題
DarkSide の後継ランサムウェアグループ、来週以降に攻撃を本格化か
BlackMatter ランサムウェアが主要な企業や公共部門を標的として攻撃してくる可能性について、米国の主要な政府機関が今週注意喚起しました。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、FBI、国家安全保障局は共同でアドバイザリを発表し、BlackMatter は今年初めに Colonial Pipeline 社を攻撃したことで知られるランサムウェアグループ DarkSide の後継グループである可能性が高いとの見解を示しました。アドバイザリでは、多要素認証を実装し、ログイン情報の設定についてはより強固なルールを制定して BlackMatter の攻撃に備えるよう企業に注意喚起しています。レポートによると、米国の 2 つの大手食品協同組合がすでにこのランサムウェアの標的になっています。
Snort SID:58237、58238
ZTE MF971R LTE ルータで発見された複数の脆弱性
Cisco Talos はこのほど、ZTE MF971R LTE ポータブルルータに複数の脆弱性を発見しました。MF971R はポータブル Wi-Fi ルータであり、LTE/GSM モデムとして機能します。今回発見された脆弱性はすべて、攻撃者が細工された HTTP 要求を送信することによりエクスプロイトされる可能性があります。TALOS-2021-1320 と TALOS-2021-1321 はスタックベースのバッファオーバーフローの脆弱性です。エクスプロイトされると、攻撃者が標的デバイスで任意のリモートコードを実行する危険性があります。これらの脆弱性をエクスプロイトするにあたって、攻撃者は TALOS-2021-1317 で説明されているリファラチェックをバイパスする必要があります。TALOS-2021-1318 と TALOS-2021-1319 はクロスサイト スクリプティングの脆弱性です。攻撃者はこれを悪用して、ブラウザで任意の JavaScript を実行する可能性があります。エクスプロイトするには、攻撃者の管理下にあって、悪意のある HTTP 要求をホストしている URL をユーザに開かせる必要があります。
Snort SID:57749 – 57752, 57798, 57799, 57802, 57803, 57829
今週最も多く見られたマルウェアファイル
SHA 256:f0a5b257f16c4ccff520365ebc143f09ccf233e642bf540b5b90a2bbdb43d5b4
MD5:84452e3633c40030e72c9375c8a3cacb
一般的なファイル名:sqhost.exe
偽装名:sqhost.exe
検出名:W32.Auto:f0a5b257f1.in03.Talos
SHA 256:8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2
MD5:fe3659119e683e1aa07b2346c1f215af
一般的なファイル名:SqlBase.exe
偽装名: SqlServerWorks.Runner
検出名:W32.8639FD3EF8-95.SBX.TG
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:0e043149a1970990d0098bf986585bf2f224e4be7407348ff91efe89f8c5999c
MD5:7b7e4f2878799268e9dd0a515420a88e
一般的なファイル名:S A Service.exe
偽装名:S_A_Service
検出名:W32.Auto:0e043149a1.in03.Talos
SHA 256:33677846134841aa2541b5707102646aeedb1fc32a717a58e89a6ff69f0ef7bb
MD5:bdd455b064413ee7e1997bd10daa4904
一般的なファイル名:461502.exe
偽装名:なし
検出名:W32.3367784613-100.SBX.TG
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 10 月 21 日に Talos Group
Tags:
