Cisco Japan Blog

脅威情報ニュースレター(2021 年 9 月 23 日)

1 min read



Talos 読者の皆様、こんにちは。

ロシアの APT グループ Turla は、現在最も悪名高い攻撃者の 1 つであり、その勢いがとどまる気配はありません。最近展開しはじめた新たなバックドアは、たとえ他のマルウェアが削除されても攻撃対象のマシンに足場を残すための「最後のチャンス」として機能します。

APT 関係では他にも、米国のサイバーセキュリティ インフラストラクチャ セキュリティ庁がアドバイザリをリリースpopup_iconし、最近の Conti ランサムウェア攻撃の急増についてユーザと組織に警告しています。レポートでは、Talos にも触れられています。Conti に関する Talos の最近の成果については、流出したハンドブックの主なポイントをまとめたものや、この件を取り上げた Talos Takes のエピソードをご覧ください。

今後予定されている Talos の公開イベント

チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて

講演者:Edmund Brumaghin

開催日:9 月 25 日午後 1 時 30 分(米国東部時間)

場所:バーチャル

概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、Talos が実際に確認した攻撃について詳しく取り上げ、これらのアプリを安全に使用する方法を説明します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Monthpopup_icon

講演者:Brad Garnett

開催日:10 月 18 日午前 9 時 30 分(米国東部時間)

場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング

概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。

1 週間のサイバーセキュリティ概況

  • Walgreens 社、顧客の新型コロナウイルス検査情報がオンラインで公開popup_icon。顧客の名前、予約情報、検査結果などの個人情報が、薬局チェーンの Web サイトから比較的簡単に閲覧できる状態になっていました。この問題は最近実施されたセキュリティ強化により解消されています。
  • Apple 社、今週いくつかの新しいセキュリティ機能を含むpopup_icon iOS 15 をリリース。ユーザの顔を 3D プリントしたものを使えば、顔認証機能を用いてデバイスのロックを解除できるという脆弱性にも、特に言及することなくパッチを適用popup_iconしています。
  • カスタマーサービス企業の TTEC 社、ランサムウェア攻撃から完全に回復popup_icon。9 月 12 日に攻撃を受けた後、同社は Verizon など顧客に影響のあるサービスの一部をオフラインにせざるを得なくなっていました。
  • 米国政府、人気の暗号通貨取引所に対する新たな制裁を発表popup_icon。当局の発表によれば、サイバー攻撃者がランサムウェア攻撃で入手した資金の洗浄にこの取引所が利用されていました。制裁は、米国の国民と企業が同グループと取引することを禁止ずるものです。
  • アイオワ州の穀物協同組合、今週ロシアの攻撃者からのサイバー攻撃を受け、590 万ドルの身代金を要求popup_iconされる。回避策を講じて復旧できたことで、出荷や業務に支障は出ませんでした。
  • 欧州警察、イタリアのマフィアのためにさまざまなサイバー犯罪を実行したとして 100 人以上を逮捕popup_icon。容疑者には、SIM 交換やフィッシング攻撃実行の嫌疑が掛けられています。
  • 人気の Voice over IP サービス、分散型 DoS 攻撃によりpopup_icon木曜日午後現在サービスが中断中。同社は 100 ヵ国以上で 8 万の顧客にサービスを提供しています。
  • アラスカ州の医療機関、ランサムウェア攻撃から 2 ヵ月が経過するもなお復旧の途上popup_icon。住民の氏名や社会保障番号などの個人情報が漏洩した可能性がありますが、その人数は正確には分かっていません。
  • リトアニアのサイバーセキュリティ研究者らが中国製のモバイルデバイスの使用をやめるようpopup_icon政府に警告、プライバシー上の懸念が浮上しセキュリティホールが発見される。中には、「Free Tibet」や「Voice of America」といったフレーズの使用が禁止されているデバイスもありました。

最近の注目すべきセキュリティ問題

件名:ロシアの有名な APT グループが新たなバックドアツールを開発

説明:Cisco Talos は、APT グループ Turla が仕掛けているバックドアを発見しました。これまで確認されたことがないバックドアです。シンプルなバックドアであり、メインのマルウェアが削除された場合でもシステムに再侵入できるようにするために使用されていると考えられます。また、新たなマルウェアをシステムに感染させる第 2 ステージのドロッパーとして使用されている可能性もあります。バックドアは、感染したマシンにサービスとしてインストールされていました。攻撃者は既存の Windows サービスを真似た「Windows Time Service」というサービス名を付けることで、検出を逃れて攻撃を試みていました。このバックドアには、ファイルをアップロードして実行したり、感染したシステムからファイルを盗み出したりする機能があります。Talos が調査した際には、HTTPS 暗号化チャネルを介してコマンドアンドコントロール(C2)サーバに 5 秒ごとに接続し、攻撃者からの新しいコマンドがないかをチェックしていました。

ClamAV のシグネチャ:Win.Trojan.Turla-9891506-1

Cisco Secure OSQuerypopup_icon

件名:Microsoft 社、脆弱性「OMIGOD」に対する最新の保護機能をリリースpopup_icon

説明:Microsoft 社は、Open Management Infrastructure(OMI)の脆弱性「OMIGOD」に対する更新パッチをリリースしました。最も深刻な脆弱性である CVE-2021-38647 がエクスプロイトされると、リモートでコードが実行される危険性があります。他の 3 つ(CVE-2021-38648、CVE-2021-38645、CVE-2021-38649)の脆弱性については、標的のマシンで上位の権限を取得される危険性があります。同社は先月、月例のセキュリティ更新プログラムの一環として、これらの脆弱性を初めて公開しました。しかし、依然として一部の Linux マシンがこれらの脆弱性のエクスプロイトにより攻撃される危険性があることをセキュリティ研究者が発見し、Microsoft 社に対して最新のガイダンスをリリースするよう促していました。

Snort SID58169

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2566c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18popup_icon

MD5830ffb393ba8cca073a1c0b66af78de5

一般的なファイル名:smbscanlocal0902.exe

偽装名:なし

検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID[1].dat

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 256fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66cpopup_icon 

MD504c1f4395f80a3890aa8b12ebc2b4855

一般的なファイル名:zReXhNb

偽装名:なし

検出名:Auto.FAD16599A8.241842.in07.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 09 月 23 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 23, 2021)popup_icon」の抄訳です。

 

コメントを書く