Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 9 月 16 日)


2021年10月20日

Talos 読者の皆様、こんにちは。

今度は鳥(航空業界)がネズミ(RAT、リモートアクセス型トロイの木馬)に狙われました。

Talos は、航空業界を標的にし、誘い込みの手口としてフライトスケジュールなどの情報に見せかけたスパムメールを送信している一連のトロイの木馬を追跡してきました。最新のブログ記事で、Talos が攻撃者をどのように追跡してきたのか、また攻撃者を追跡するために今後学ぶことができる教訓について説明しています。

今週、Microsoft 社の月例のセキュリティ更新プログラムがリリースされました。Microsoft 製品をできるだけ早く更新することをお勧めします。今回のリリースで注目されるのは、多くの関心を集めている MSHTML の脆弱性に対する公式パッチです。

今後予定されている Talos の公開イベント

チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて

講演者:Edmund Brumaghin

開催日:9 月 25 日

場所:バーチャル

概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、Talos が実際に確認した攻撃について詳しく取り上げ、これらのアプリを安全に使用する方法を説明します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

サイバーセキュリティ啓発月間に関する Cisco Talos インシデント対応チームの活動popup_icon

講演者:Brad Garnett

開催日:10 月 18 日午前 9 時 30 分(米国東部時間)

場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング

概要:サイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)に関する Cisco Talos インシデント対応チーム(CTIR)の活動にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、参加者の質問にライブで回答し、脅威の情勢とランサムウェアの脅威の拡大状況について解説します。このページから事前にご質問いただくか、ライブチャットにご参加ください。録画は後日 YouTube(cs.co/TalosTube)で公開されます。

1 週間のサイバーセキュリティ概況

  • Microsoft Azure に 4 件の脆弱性「OMIGOD」が発見される。Open Management Infrastructure(OMI)ソフトウェアエージェントに存在する脆弱性です。この 4 件の中で最も深刻な脆弱性により、攻撃者が 1 つのパケットのみでリモートマシンのルート権限を取得できる危険性があります。
  • Microsoft 社、複数のランサムウェアグループが、話題となっている MSHTML のゼロデイ脆弱性を矢継ぎ早にエクスプロイトpopup_iconしていると警告。同社は今週、月例のセキュリティ更新プログラム(修正パッチ)を公開しました。
  • 多くの PC で使用されている人気の HP ゲームドライバpopup_iconで、権限昇格の脆弱性が判明。攻撃者がカーネルモードでアクセスできる危険性があります。この脆弱性が存在する HP Omen Gaming は、多くの HP 社製ラップトップとデスクトップコンピュータにプリインストールされています。
  • Microsoft 社の Office 365 アカウントと OneDrive アカウントがパスワードなしでアクセス可能popup_iconに。パスワードの代わりに、Microsoft Authenticator アプリまたは Windows マシンの生体認証を使用してログインできるようになりました。
  • 豪政府機関の Australian Cyber Security Centre が今週、重要インフラに対するサイバー攻撃の増加を企業と政府機関に警告popup_icon。新たなレポートによると、2020 〜 2021 年度に報告されたサイバー攻撃の件数は 15% 増加し、被害額は約 330 億ドルに達しました。
  • リモート学習とハイブリッド学習の普及に伴い、生徒のデータがオンラインで漏洩するインシデントが増加popup_icon。学校から情報が盗まれた場合、残念ながら、子どもの個人情報を保護するために親ができることはほとんどありません。
  • セキュリティ研究者と法執行機関が協力して、REvil ランサムウェアに対する新たな復号鍵popup_iconを作成。攻撃グループのサーバは 7 月に停止されましたが、その前にロックされたすべてのファイルを復号できるとされています。
  • Apple 社、iPhone 13 を今週発表。iOS 15 の一部として、複数の新たなプライバシー機能popup_iconが提供されます。新機能には、音声コマンドのデバイス内処理や、サードパーティ製アプリによる追跡を無効にする新しいオプションが含まれています。
  • ハクティビストグループ Anonymous、極右のソーシャルメディアアプリとサイトの利用者に関する 180GB のデータを漏洩させるpopup_icon。Parler や Gab など複数のクライアントを有する DNS ホスティングプロバイダー Epik から情報が流出したと考えられます。

最近の注目すべきセキュリティ問題

件名:実際にエクスプロイトされている MSHTML の脆弱性が、Microsoft 社の月例セキュリティ更新プログラムで修正される

説明:Microsoft 社は火曜日に月例のセキュリティ更新プログラムをリリースし、同社のファームウェアとソフトウェアで確認された 86 件の脆弱性についての情報を公開しました。今回のリリースでは、今月初めに公開された MSHTML の「緊急」のリモートコード実行の脆弱性に対する公式パッチが注目されます。CVE-2021-40444 は実際に頻繁にエクスプロイトされています。Microsoft 社によると、概念実証コードが利用可能になり、この脆弱性をエクスプロイトする攻撃が拡大する可能性があります。今回最も深刻なのは、Windows WLAN のリモートコード実行の脆弱性 CVE-2021-36965 です。この脆弱性の重大度スコアは 10 点満点中 8.8 で、CVE-2021-40444 と同スコアです。前述の MSHTML のエクスプロイトとは別に、Windows スクリプトエンジンには別の「緊急」な脆弱性が存在します。CVE-2021-26435 には、細工されたファイルをユーザに開かせたり、この脆弱性をエクスプロイトするために攻撃者が作成したファイルを含む Web サイトにユーザを誘導したりすることで、標的のマシンのメモリを破損させる危険性があります。

Snort SID58120 〜 58135

Snort 3 SID300049

ClamAV シグネチャ:9891528(Doc.Exploit.CVE_2021_40444-9891528-0)

Cisco Secure OSQueryCVE-2021-40444_vulnerability status

件名:スパイウェアに感染するゼロクリックの脆弱性に Apple 社がパッチを適用popup_icon

説明:Apple 社は今週、スマートフォン、iPad、スマートウォッチの脆弱性を修正するセキュリティアップデートをリリースしました。この脆弱性を利用して、攻撃者がスパイウェア Pegasus をインストールする危険性があります。パッチがリリースされたのは、ゼロクリック攻撃を仕掛けられたサウジアラビアの活動家のスマートフォンがスパイウェアに感染していることを研究者らが発見した直後です。インストールされると、Pegasus はユーザのカメラとマイクをオンにし、メッセージ、テキスト、電子メール、通話を記録して、NSO Group(Pegasus を開発したイスラエルのテクノロジー企業)の顧客に送り返します。研究者らによると、最大 16 億 5,000 万台の Apple 社製品が今年 3 月以降 Pegasus に対して脆弱であった可能性があります。

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2566c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18popup_icon

MD5830ffb393ba8cca073a1c0b66af78de5

一般的なファイル名:smbscanlocal0902.exe

偽装名:なし

検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID[1].dat

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 256fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66cpopup_icon 

MD504c1f4395f80a3890aa8b12ebc2b4855

一般的なファイル名:zReXhNb

偽装名:なし

検出名:Auto.FAD16599A8.241842.in07.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 09 月 16 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 16, 2021)popup_icon」の抄訳です。

Tags:
コメントを書く