Talos 読者の皆様、こんにちは。
今度は鳥(航空業界)がネズミ(RAT、リモートアクセス型トロイの木馬)に狙われました。
Talos は、航空業界を標的にし、誘い込みの手口としてフライトスケジュールなどの情報に見せかけたスパムメールを送信している一連のトロイの木馬を追跡してきました。最新のブログ記事で、Talos が攻撃者をどのように追跡してきたのか、また攻撃者を追跡するために今後学ぶことができる教訓について説明しています。
今週、Microsoft 社の月例のセキュリティ更新プログラムがリリースされました。Microsoft 製品をできるだけ早く更新することをお勧めします。今回のリリースで注目されるのは、多くの関心を集めている MSHTML の脆弱性に対する公式パッチです。
今後予定されている Talos の公開イベント
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて
講演者:Edmund Brumaghin
開催日:9 月 25 日
場所:バーチャル
概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、Talos が実際に確認した攻撃について詳しく取り上げ、これらのアプリを安全に使用する方法を説明します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
サイバーセキュリティ啓発月間に関する Cisco Talos インシデント対応チームの活動
講演者:Brad Garnett
開催日:10 月 18 日午前 9 時 30 分(米国東部時間)
場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング
概要:サイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)に関する Cisco Talos インシデント対応チーム(CTIR)の活動にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、参加者の質問にライブで回答し、脅威の情勢とランサムウェアの脅威の拡大状況について解説します。このページから事前にご質問いただくか、ライブチャットにご参加ください。録画は後日 YouTube(cs.co/TalosTube)で公開されます。
1 週間のサイバーセキュリティ概況
- Microsoft Azure に 4 件の脆弱性「OMIGOD」が発見される。Open Management Infrastructure(OMI)ソフトウェアエージェントに存在する脆弱性です。この 4 件の中で最も深刻な脆弱性により、攻撃者が 1 つのパケットのみでリモートマシンのルート権限を取得できる危険性があります。
- Microsoft 社、複数のランサムウェアグループが、話題となっている MSHTML のゼロデイ脆弱性を矢継ぎ早にエクスプロイトしていると警告。同社は今週、月例のセキュリティ更新プログラム(修正パッチ)を公開しました。
- 多くの PC で使用されている人気の HP ゲームドライバで、権限昇格の脆弱性が判明。攻撃者がカーネルモードでアクセスできる危険性があります。この脆弱性が存在する HP Omen Gaming は、多くの HP 社製ラップトップとデスクトップコンピュータにプリインストールされています。
- Microsoft 社の Office 365 アカウントと OneDrive アカウントがパスワードなしでアクセス可能に。パスワードの代わりに、Microsoft Authenticator アプリまたは Windows マシンの生体認証を使用してログインできるようになりました。
- 豪政府機関の Australian Cyber Security Centre が今週、重要インフラに対するサイバー攻撃の増加を企業と政府機関に警告。新たなレポートによると、2020 〜 2021 年度に報告されたサイバー攻撃の件数は 15% 増加し、被害額は約 330 億ドルに達しました。
- リモート学習とハイブリッド学習の普及に伴い、生徒のデータがオンラインで漏洩するインシデントが増加。学校から情報が盗まれた場合、残念ながら、子どもの個人情報を保護するために親ができることはほとんどありません。
- セキュリティ研究者と法執行機関が協力して、REvil ランサムウェアに対する新たな復号鍵を作成。攻撃グループのサーバは 7 月に停止されましたが、その前にロックされたすべてのファイルを復号できるとされています。
- Apple 社、iPhone 13 を今週発表。iOS 15 の一部として、複数の新たなプライバシー機能が提供されます。新機能には、音声コマンドのデバイス内処理や、サードパーティ製アプリによる追跡を無効にする新しいオプションが含まれています。
- ハクティビストグループ Anonymous、極右のソーシャルメディアアプリとサイトの利用者に関する 180GB のデータを漏洩させる。Parler や Gab など複数のクライアントを有する DNS ホスティングプロバイダー Epik から情報が流出したと考えられます。
最近の注目すべきセキュリティ問題
件名:実際にエクスプロイトされている MSHTML の脆弱性が、Microsoft 社の月例セキュリティ更新プログラムで修正される
説明:Microsoft 社は火曜日に月例のセキュリティ更新プログラムをリリースし、同社のファームウェアとソフトウェアで確認された 86 件の脆弱性についての情報を公開しました。今回のリリースでは、今月初めに公開された MSHTML の「緊急」のリモートコード実行の脆弱性に対する公式パッチが注目されます。CVE-2021-40444 は実際に頻繁にエクスプロイトされています。Microsoft 社によると、概念実証コードが利用可能になり、この脆弱性をエクスプロイトする攻撃が拡大する可能性があります。今回最も深刻なのは、Windows WLAN のリモートコード実行の脆弱性 CVE-2021-36965 です。この脆弱性の重大度スコアは 10 点満点中 8.8 で、CVE-2021-40444 と同スコアです。前述の MSHTML のエクスプロイトとは別に、Windows スクリプトエンジンには別の「緊急」な脆弱性が存在します。CVE-2021-26435 には、細工されたファイルをユーザに開かせたり、この脆弱性をエクスプロイトするために攻撃者が作成したファイルを含む Web サイトにユーザを誘導したりすることで、標的のマシンのメモリを破損させる危険性があります。
Snort SID:58120 〜 58135
Snort 3 SID:300049
ClamAV シグネチャ:9891528(Doc.Exploit.CVE_2021_40444-9891528-0)
Cisco Secure OSQuery:CVE-2021-40444_vulnerability status
件名:スパイウェアに感染するゼロクリックの脆弱性に Apple 社がパッチを適用
説明:Apple 社は今週、スマートフォン、iPad、スマートウォッチの脆弱性を修正するセキュリティアップデートをリリースしました。この脆弱性を利用して、攻撃者がスパイウェア Pegasus をインストールする危険性があります。パッチがリリースされたのは、ゼロクリック攻撃を仕掛けられたサウジアラビアの活動家のスマートフォンがスパイウェアに感染していることを研究者らが発見した直後です。インストールされると、Pegasus はユーザのカメラとマイクをオンにし、メッセージ、テキスト、電子メール、通話を記録して、NSO Group(Pegasus を開発したイスラエルのテクノロジー企業)の顧客に送り返します。研究者らによると、最大 16 億 5,000 万台の Apple 社製品が今年 3 月以降 Pegasus に対して脆弱であった可能性があります。
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:6c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18
MD5:830ffb393ba8cca073a1c0b66af78de5
一般的なファイル名:smbscanlocal0902.exe
偽装名:なし
検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID[1].dat
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66c
MD5:04c1f4395f80a3890aa8b12ebc2b4855
一般的なファイル名:zReXhNb
偽装名:なし
検出名:Auto.FAD16599A8.241842.in07.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 09 月 16 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 16, 2021)」の抄訳です。