Cisco Japan Blog

脅威情報ニュースレター(2021 年 9 月 30 日)

1 min read



Talos 読者の皆様、こんにちは。

話題のニュースに便乗した最新の攻撃手口を Talos が調査する中で、最近注目されているスパイウェア「Pegasus」を利用してマルウェアを拡散している攻撃グループを発見しました。 

この攻撃グループは、Amnesty International の Web サイトを(ほぼ完全に)コピーして、スパイウェアを検出し削除できると謳ったツールを宣伝しています。リンク先の記事で攻撃の詳細についてまとめていますのでご確認ください。実際にはそのようなスパイウェア対策ツールは存在せず、デバイスに RAT をダウンロードする仕掛けになっているので注意が必要です。

『脅威情報ニュースレター』で取り上げてほしい情報(脅威、IOC、マルウェアファミリ、攻撃者)があれば、threatsource@cisco.com までご連絡ください。

今後予定されている Talos の公開イベント

Snort 3 and Me:ルール作成者が語るpopup_icon

開催日:10 月 5 日午前 11 時(米国東部時間)

場所:バーチャル

概要:『Snort 3 and Me』のウェビナーシリーズの最新版で、Talos のアナリストが Snort ルールの一部始終を解説します。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Monthpopup_icon

講演者:Brad Garnett

開催日:10 月 18 日午前 9 時 30 分(米国東部時間)

場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング

概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。

1 週間のサイバーセキュリティ概況

  • Microsoft 社、今年初めに公開されたいくつかの注目すべき脆弱性を緩和する新機能を Exchange Server に追加popup_icon。攻撃者は数か月にわたって、ProxyLogon の一連の脆弱性をエクスプロイトしていた可能性があります。これらの緩和策により、管理者が正式なパッチを適用できるようになるまでの間、ユーザが保護されると考えられます。
  • Google が Web ブラウザ Google Chrome の緊急アップデートをリリース、研究者により今年 11 番目のゼロデイ脆弱性popup_iconが発見される。解放済みメモリ使用(use-after-free)の脆弱性(CVE-2021-37973)の詳細は明らかにされていません。その理由は、ユーザがパッチを適用している間に攻撃者に情報が漏れないようにするためです。
  • 上院議員が送った書簡で、米国国家安全保障局(NSA)と他の連邦政府機関が Web ブラウザで広告ブロッカーを使用するよう職員に促しているpopup_iconことが明らかに。NSA は、「一見無害なオンライン広告」は、「政府の機密データを盗んだり、変更したり、消去したり、コンピュータの内蔵マイクをリモートで有効にして会話を録音したり」できるマルウェアにユーザを感染させる危険性があると述べています。
  • 先週、サイバー攻撃を受けた英国の給与計算会社がネットワークを閉鎖popup_icon、一部で給与の未払いが発生。同社は、ネットワーク、統合 IT インフラストラクチャ、電話、電子メールシステムの停止に追い込まれました。
  • 米国上院、重要インフラがサイバー攻撃を受けた場合は連邦政府に報告することを義務づけるpopup_icon法律を検討中。この法案では、サイバーセキュリティ インフラストラクチャ セキュリティ庁内に Cyber-Incident Review Office を新設することが提案されています。
  • 米国最大の輸送ハブの 1 つであるヒューストン港が先月、サイバー攻撃を撃退popup_icon。国家の支援を受けている攻撃者は、パスワード管理プログラムである ManageEngine ADSelfService Plus をエクスプロイトしようとしたと報じられています。
  • Microsoft Azure Active Directory のブルートフォース攻撃に対する脆弱性popup_iconの概念実証コードが公開される。この脆弱性が存在するメカニズムについて、Microsoft 社は設計上の選択肢としていましたが、誰でもユーザ名の列挙とパスワードのブルートフォーシングを実行できます。
  • YouTube、ワクチンのデマ情報の取り締まりpopup_iconへ。今週複数の有名なアカウントを凍結。YouTube は、ワクチンが感染率を低下させないと主張する動画や、実際のワクチンの構成に関する偽情報などのコンテンツを含む動画を削除すると発表しています。

最近の注目すべきセキュリティ問題

「Operation:ArmorPiercer」がインドの亜大陸を標的にpopup_icon

Cisco Talos はこのほど、インド亜大陸の政府職員と軍人を標的にした攻撃「Operation:ArmorPiercer」を発見しました。NetwireRAT(別名 NetwireRC)、WarzoneRAT(別名 Ave Maria)という、一般販売されるようになった 2 種類の RAT ファミリが使用されています。攻撃者は、主にインド政府のインフラ(多要素認証アプリ「Kavach」など)と軍事作戦に関連するガイドや IT 関連のガイドを装って、さまざまな誘い込みの罠を標的に仕掛けました。これらのガイドは悪意のある Microsoft Office ドキュメント形式やアーカイブ(RAR、ZIP)形式で配布されており、RAT のローダを含んでいます。この攻撃は、並々ならぬ意欲を持った攻撃者が、一般販売されるようになった RAT ファミリを使用して被害者を感染させた事例の 1 つです。2 種類の RAT には、感染したシステム全体を制御するための、すぐに使える数々の機能がパッケージされています。また、標的のネットワークに足場を築き、追加のプラグインやモジュールを展開する可能性が高いと思われます。

Snort SID58115 〜 58119

VMware vCenter におけるリモートコード実行の脆弱性に対する概念実証コードpopup_icon

VMware vCenter のリモートコード実行の脆弱性がインターネット上で広まり、実際に頻繁にエクスプロイトされています。CVE-2021-22005 では、攻撃者が脆弱なサーバでリバースシェルを開き、任意のコードをリモートで実行する危険性があります。VCenter は、VM とコンテナを管理できるサーバ仮想化管理プラットフォームです。9 月 28 日(火)に、概念実証コードがオンラインで公開されました。VMware 社はこの脆弱性を公開し、先週パッチを適用しました。脆弱性は「緊急」と評価されており、CVSS の重大度スコアは 10 点中 9.8 点です。

Snort SID58217 〜 58219

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2566c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18popup_icon

MD5830ffb393ba8cca073a1c0b66af78de5

一般的なファイル名:smbscanlocal0902.exe

偽装名:なし

検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66cpopup_icon 

MD504c1f4395f80a3890aa8b12ebc2b4855

一般的なファイル名:zReXhNb

偽装名:なし

検出名:Auto.FAD16599A8.241842.in07.Talos

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2

MD5fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlBase.exe

偽装名:        SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 09 月 30 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 30, 2021)popup_icon」の抄訳です。

 

コメントを書く