Talos 読者の皆様、こんにちは。
ロシアの APT グループ Turla は、現在最も悪名高い攻撃者の 1 つであり、その勢いがとどまる気配はありません。最近展開しはじめた新たなバックドアは、たとえ他のマルウェアが削除されても攻撃対象のマシンに足場を残すための「最後のチャンス」として機能します。
APT 関係では他にも、米国のサイバーセキュリティ インフラストラクチャ セキュリティ庁がアドバイザリをリリースし、最近の Conti ランサムウェア攻撃の急増についてユーザと組織に警告しています。レポートでは、Talos にも触れられています。Conti に関する Talos の最近の成果については、流出したハンドブックの主なポイントをまとめたものや、この件を取り上げた Talos Takes のエピソードをご覧ください。
今後予定されている Talos の公開イベント
チャット、詐欺、クラック:マルウェア攻撃におけるコラボレーション プラットフォームの悪用(Chats, Cheats, and Cracks: Abuse of Collaboration Platforms in Malware Campaigns)、BSides Charlotte セキュリティカンファレンスにて
講演者:Edmund Brumaghin
開催日:9 月 25 日午後 1 時 30 分(米国東部時間)
場所:バーチャル
概要:Talos アウトリーチチームの Edmund Brumaghin が、Discord や Slack などのコラボレーションアプリを標的にするマルウェア攻撃について解説します。今年の初めに Talos が投稿したブログ記事に続いて、このプレゼンテーションでは、Talos が実際に確認した攻撃について詳しく取り上げ、これらのアプリを安全に使用する方法を説明します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)
講演者:Brad Garnett
開催日:10 月 18 日午前 9 時 30 分(米国東部時間)
場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング
概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。
1 週間のサイバーセキュリティ概況
- Walgreens 社、顧客の新型コロナウイルス検査情報がオンラインで公開。顧客の名前、予約情報、検査結果などの個人情報が、薬局チェーンの Web サイトから比較的簡単に閲覧できる状態になっていました。この問題は最近実施されたセキュリティ強化により解消されています。
- Apple 社、今週いくつかの新しいセキュリティ機能を含む iOS 15 をリリース。ユーザの顔を 3D プリントしたものを使えば、顔認証機能を用いてデバイスのロックを解除できるという脆弱性にも、特に言及することなくパッチを適用しています。
- カスタマーサービス企業の TTEC 社、ランサムウェア攻撃から完全に回復。9 月 12 日に攻撃を受けた後、同社は Verizon など顧客に影響のあるサービスの一部をオフラインにせざるを得なくなっていました。
- 米国政府、人気の暗号通貨取引所に対する新たな制裁を発表。当局の発表によれば、サイバー攻撃者がランサムウェア攻撃で入手した資金の洗浄にこの取引所が利用されていました。制裁は、米国の国民と企業が同グループと取引することを禁止ずるものです。
- アイオワ州の穀物協同組合、今週ロシアの攻撃者からのサイバー攻撃を受け、590 万ドルの身代金を要求される。回避策を講じて復旧できたことで、出荷や業務に支障は出ませんでした。
- 欧州警察、イタリアのマフィアのためにさまざまなサイバー犯罪を実行したとして 100 人以上を逮捕。容疑者には、SIM 交換やフィッシング攻撃実行の嫌疑が掛けられています。
- 人気の Voice over IP サービス、分散型 DoS 攻撃により木曜日午後現在サービスが中断中。同社は 100 ヵ国以上で 8 万の顧客にサービスを提供しています。
- アラスカ州の医療機関、ランサムウェア攻撃から 2 ヵ月が経過するもなお復旧の途上。住民の氏名や社会保障番号などの個人情報が漏洩した可能性がありますが、その人数は正確には分かっていません。
- リトアニアのサイバーセキュリティ研究者らが中国製のモバイルデバイスの使用をやめるよう政府に警告、プライバシー上の懸念が浮上しセキュリティホールが発見される。中には、「Free Tibet」や「Voice of America」といったフレーズの使用が禁止されているデバイスもありました。
最近の注目すべきセキュリティ問題
件名:ロシアの有名な APT グループが新たなバックドアツールを開発
説明:Cisco Talos は、APT グループ Turla が仕掛けているバックドアを発見しました。これまで確認されたことがないバックドアです。シンプルなバックドアであり、メインのマルウェアが削除された場合でもシステムに再侵入できるようにするために使用されていると考えられます。また、新たなマルウェアをシステムに感染させる第 2 ステージのドロッパーとして使用されている可能性もあります。バックドアは、感染したマシンにサービスとしてインストールされていました。攻撃者は既存の Windows サービスを真似た「Windows Time Service」というサービス名を付けることで、検出を逃れて攻撃を試みていました。このバックドアには、ファイルをアップロードして実行したり、感染したシステムからファイルを盗み出したりする機能があります。Talos が調査した際には、HTTPS 暗号化チャネルを介してコマンドアンドコントロール(C2)サーバに 5 秒ごとに接続し、攻撃者からの新しいコマンドがないかをチェックしていました。
ClamAV のシグネチャ:Win.Trojan.Turla-9891506-1
件名:Microsoft 社、脆弱性「OMIGOD」に対する最新の保護機能をリリース
説明:Microsoft 社は、Open Management Infrastructure(OMI)の脆弱性「OMIGOD」に対する更新パッチをリリースしました。最も深刻な脆弱性である CVE-2021-38647 がエクスプロイトされると、リモートでコードが実行される危険性があります。他の 3 つ(CVE-2021-38648、CVE-2021-38645、CVE-2021-38649)の脆弱性については、標的のマシンで上位の権限を取得される危険性があります。同社は先月、月例のセキュリティ更新プログラムの一環として、これらの脆弱性を初めて公開しました。しかし、依然として一部の Linux マシンがこれらの脆弱性のエクスプロイトにより攻撃される危険性があることをセキュリティ研究者が発見し、Microsoft 社に対して最新のガイダンスをリリースするよう促していました。
Snort SID:58169
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:6c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18
MD5:830ffb393ba8cca073a1c0b66af78de5
一般的なファイル名:smbscanlocal0902.exe
偽装名:なし
検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名: SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID[1].dat
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66c
MD5:04c1f4395f80a3890aa8b12ebc2b4855
一般的なファイル名:zReXhNb
偽装名:なし
検出名:Auto.FAD16599A8.241842.in07.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 09 月 23 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 23, 2021)」の抄訳です。