Talos 読者の皆様、こんにちは。
話題のニュースに便乗した最新の攻撃手口を Talos が調査する中で、最近注目されているスパイウェア「Pegasus」を利用してマルウェアを拡散している攻撃グループを発見しました。
この攻撃グループは、Amnesty International の Web サイトを(ほぼ完全に)コピーして、スパイウェアを検出し削除できると謳ったツールを宣伝しています。リンク先の記事で攻撃の詳細についてまとめていますのでご確認ください。実際にはそのようなスパイウェア対策ツールは存在せず、デバイスに RAT をダウンロードする仕掛けになっているので注意が必要です。
『脅威情報ニュースレター』で取り上げてほしい情報(脅威、IOC、マルウェアファミリ、攻撃者)があれば、threatsource@cisco.com までご連絡ください。
今後予定されている Talos の公開イベント
開催日:10 月 5 日午前 11 時(米国東部時間)
場所:バーチャル
概要:『Snort 3 and Me』のウェビナーシリーズの最新版で、Talos のアナリストが Snort ルールの一部始終を解説します。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)
講演者:Brad Garnett
開催日:10 月 18 日午前 9 時 30 分(米国東部時間)
場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング
概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。
1 週間のサイバーセキュリティ概況
- Microsoft 社、今年初めに公開されたいくつかの注目すべき脆弱性を緩和する新機能を Exchange Server に追加。攻撃者は数か月にわたって、ProxyLogon の一連の脆弱性をエクスプロイトしていた可能性があります。これらの緩和策により、管理者が正式なパッチを適用できるようになるまでの間、ユーザが保護されると考えられます。
- Google が Web ブラウザ Google Chrome の緊急アップデートをリリース、研究者により今年 11 番目のゼロデイ脆弱性が発見される。解放済みメモリ使用(use-after-free)の脆弱性(CVE-2021-37973)の詳細は明らかにされていません。その理由は、ユーザがパッチを適用している間に攻撃者に情報が漏れないようにするためです。
- 上院議員が送った書簡で、米国国家安全保障局(NSA)と他の連邦政府機関が Web ブラウザで広告ブロッカーを使用するよう職員に促していることが明らかに。NSA は、「一見無害なオンライン広告」は、「政府の機密データを盗んだり、変更したり、消去したり、コンピュータの内蔵マイクをリモートで有効にして会話を録音したり」できるマルウェアにユーザを感染させる危険性があると述べています。
- 先週、サイバー攻撃を受けた英国の給与計算会社がネットワークを閉鎖、一部で給与の未払いが発生。同社は、ネットワーク、統合 IT インフラストラクチャ、電話、電子メールシステムの停止に追い込まれました。
- 米国上院、重要インフラがサイバー攻撃を受けた場合は連邦政府に報告することを義務づける法律を検討中。この法案では、サイバーセキュリティ インフラストラクチャ セキュリティ庁内に Cyber-Incident Review Office を新設することが提案されています。
- 米国最大の輸送ハブの 1 つであるヒューストン港が先月、サイバー攻撃を撃退。国家の支援を受けている攻撃者は、パスワード管理プログラムである ManageEngine ADSelfService Plus をエクスプロイトしようとしたと報じられています。
- Microsoft Azure Active Directory のブルートフォース攻撃に対する脆弱性の概念実証コードが公開される。この脆弱性が存在するメカニズムについて、Microsoft 社は設計上の選択肢としていましたが、誰でもユーザ名の列挙とパスワードのブルートフォーシングを実行できます。
- YouTube、ワクチンのデマ情報の取り締まりへ。今週複数の有名なアカウントを凍結。YouTube は、ワクチンが感染率を低下させないと主張する動画や、実際のワクチンの構成に関する偽情報などのコンテンツを含む動画を削除すると発表しています。
最近の注目すべきセキュリティ問題
「Operation:ArmorPiercer」がインドの亜大陸を標的に
Cisco Talos はこのほど、インド亜大陸の政府職員と軍人を標的にした攻撃「Operation:ArmorPiercer」を発見しました。NetwireRAT(別名 NetwireRC)、WarzoneRAT(別名 Ave Maria)という、一般販売されるようになった 2 種類の RAT ファミリが使用されています。攻撃者は、主にインド政府のインフラ(多要素認証アプリ「Kavach」など)と軍事作戦に関連するガイドや IT 関連のガイドを装って、さまざまな誘い込みの罠を標的に仕掛けました。これらのガイドは悪意のある Microsoft Office ドキュメント形式やアーカイブ(RAR、ZIP)形式で配布されており、RAT のローダを含んでいます。この攻撃は、並々ならぬ意欲を持った攻撃者が、一般販売されるようになった RAT ファミリを使用して被害者を感染させた事例の 1 つです。2 種類の RAT には、感染したシステム全体を制御するための、すぐに使える数々の機能がパッケージされています。また、標的のネットワークに足場を築き、追加のプラグインやモジュールを展開する可能性が高いと思われます。
Snort SID:58115 〜 58119
VMware vCenter におけるリモートコード実行の脆弱性に対する概念実証コード
VMware vCenter のリモートコード実行の脆弱性がインターネット上で広まり、実際に頻繁にエクスプロイトされています。CVE-2021-22005 では、攻撃者が脆弱なサーバでリバースシェルを開き、任意のコードをリモートで実行する危険性があります。VCenter は、VM とコンテナを管理できるサーバ仮想化管理プラットフォームです。9 月 28 日(火)に、概念実証コードがオンラインで公開されました。VMware 社はこの脆弱性を公開し、先週パッチを適用しました。脆弱性は「緊急」と評価されており、CVSS の重大度スコアは 10 点中 9.8 点です。
Snort SID:58217 〜 58219
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:6c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18
MD5:830ffb393ba8cca073a1c0b66af78de5
一般的なファイル名:smbscanlocal0902.exe
偽装名:なし
検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66c
MD5:04c1f4395f80a3890aa8b12ebc2b4855
一般的なファイル名:zReXhNb
偽装名:なし
検出名:Auto.FAD16599A8.241842.in07.Talos
SHA 256:8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2
MD5:fe3659119e683e1aa07b2346c1f215af
一般的なファイル名:SqlBase.exe
偽装名: SqlServerWorks.Runner
検出名:W32.8639FD3EF8-95.SBX.TG
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 09 月 30 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 30, 2021)」の抄訳です。