Talos 読者の皆様、こんにちは。
セキュリティにおいては、何か起きてから対応するのではなく、事前の備えが重要です。最悪の事態になってから大急ぎで対応するよりも、最悪の事態を想定したうえで防御にあたる方が良いに決まっています。
だからこそ、万全のインシデント対応計画を策定し、テストを行って、実効性を確認しておくことが大切なのです。確かなインシデント対応計画により、適切な防御体制が整備されます。だからもしサイバー攻撃の標的になっても、実際に被害を及ぼすサイバーセキュリティ インシデントが発生する前に、すぐに行動を起こして脅威の解決に取り組むことができます。
インシデント対応計画を新たに策定する場合も、すでにある計画を練り上げる場合も、Talos 調査チームの Martin Lee と Talos インシデント対応チームの Paul Lee による先週のライブストリーミングを参考にしていただけると思います。上掲の全録画をご覧いただくか、こちらから Talos Takes のポッドキャストにアクセスしてください。
1 週間のサイバーセキュリティ概況
- 米下院、サイバーセキュリティ分野への 20 億ドル規模の拠出を盛り込んだインフラ法案を可決。重要なインフラがサイバー攻撃を頻繁に受けているため、州と地方自治体は追加予算を求めています。
- 暗号通貨取引に関する新しいルールも法案に追加。仮想通貨を使用して犯罪活動を行う攻撃者の動きを鈍らせることを目的としています。現在、1 万ドル以上の暗号通貨を送金する場合は税務申告する必要があり、税務上は現金と見なされます。
- 人気の株式取引アプリ Robinhood、700 万のアカウントに影響を与えた大規模なデータ漏洩を公表。最も大きな被害を受けた 310 人のユーザーについては、氏名、生年月日、郵便番号などの個人情報が流出しました。
- Robinhood のデータを侵害した攻撃者は内部プラットフォームにもアクセス。特定のユーザーのセキュリティ設定を変更できるようになった(多要素認証の無効化など)可能性がありますが、Robinhood によるとアカウント設定は変更されていません。
- 新しい Android マルウェアが 1,000 台近くのデバイスに感染、画面と音声をリアルタイムに記録可能に。このアプリは、ヨガの学習、テレビのストリーミング、写真の表示やアップロードなどのさまざまな正規のアプリケーションを偽装しています。
- Pegasus スパイウェア、パレスチナの活動家 6 人の携帯電話で発見される。Pegasus は、ユーザーの位置情報やアクティビティを追跡できる非常に有名なモバイルデバイスマルウェアです。Pegasus を頻繫に使用するのは国家を後ろ盾とする攻撃者であり、ジャーナリストや反政府勢力、その他著名人を追跡しています。
- 米司法省、REvil ランサムウェアグループに関与した疑いで 2 名を起訴、逮捕。攻撃グループのリーダーに関する情報に対して最大 1,000 万ドルの報奨金を支払うことも発表しています。
- 米国連邦政府機関の多くが、要請期限までにネットワーク上での多要素認証を実現できない見込み。この指令はバイデン政権が今年初めに発表した広範なサイバーセキュリティ ガイドラインに規定されています。
- 大手 VoIP プロバイダーcom、9 月に分散型サービス拒否攻撃により、900 万ドルから 1,200 万ドルのコストが発生したことを発表。複数の同業企業が過去数か月間に同種の攻撃を報告しています。
最近の注目すべきセキュリティ問題
Microsoft 社が 56 件の脆弱性を公開(エクスプロイトされている 1 件の Excel の脆弱性を含む)
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のさまざまなソフトウェア、ハードウェア、ファームウェア製品で確認された 56 件の脆弱性についての情報を公開しました。公開された脆弱性の中には活発にエクスプロイトされているものもあります。11 月のセキュリティ更新プログラムでは「緊急」と評価された脆弱性が 6 件あります。先月は「緊急」が 2 件のみで平均的な件数を大幅に下回っていましたが、今月は増加しました。同時に修正された他の 49 件の脆弱性は「重要」と評価されています。CVE-2021-42292 も「緊急」ではなく「重要」と評価された脆弱性ですが、今月のセキュリティ更新プログラムで修正された脆弱性のうち、活発なエクスプロイトを確認したと Microsoft 社が述べているのはこの脆弱性のみです。Microsoft Excel で発見された脆弱性であり、エクスプロイトされると、標的になったマシンの特定のセキュリティ設定がバイパスされる危険性があります。攻撃者がシステムへの主な侵入経路として電子メール添付ファイルを使用している場合、この脆弱性を悪用することで攻撃の効率を高めることができます。セキュリティプロンプトを回避できるので、感染させるためにソーシャルエンジニアリングを仕掛ける必要性が減るからです。
Snort SID:58519、58520、58539 〜 58541
Snort 3 SID:300054
Microsoft Exchange の脆弱性、今度はランサムウェア Babuk によりエクスプロイト
Cisco Talos はこのほど、ランサムウェア Babuk の亜種を展開するサイバー攻撃を発見しました。被害を受けたのは米国のユーザーが大半ですが、英国、ドイツ、ウクライナ、フィンランド、ブラジル、ホンジュラス、タイでも件数は少ないものの感染例が確認されています。攻撃実行者は、攻撃で使用されているペイロードファイル名にちなんで、Tortilla とも呼ばれています。2021 年 7 月以降に活動を始めた新しい攻撃者ですが、Babuk を展開する前にも、PowerShell ベースの netcat のクローンである Powercat など他のペイロードを試してきました。Powercat は、Windows マシンへの不正アクセスを取得できるツールとして知られています。最初の感染ベクトルは Microsoft Exchange Server の ProxyShell における脆弱性のエクスプロイトで、Web シェル China Chopper が使用された可能性があると Talos では推測しています。
Snort SID:58430 ~ 58433
今週最も多く見られたマルウェアファイル
SHA 256:5bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13
MD5:a6a7eb61172f8d988e47322ebf27bf6d
一般的なファイル名:wx.exe
偽装名:なし
検出名:Win.Dropper.Wingo::in07.talos
SHA 256:e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762
MD5:6ea750c9d69b7db6532d90ac0960e212
VirusTotal:
一般的なファイル名:deps.zip
偽装名:なし
検出名:Auto.E5044D5AC2.242358.in07.Talos
SHA 256:4d47791970c9e4b829ef0cc0049eecdfae3655f87a1e79620bbcc39eb8c21c8b
MD5:fdcdb2db7d4f9cb8b463ea2e8272d175
一般的なファイル名:javarx2.dat
偽装名:なし
検出名:Auto.4D47791970.232152.in07.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:1487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6
MD5:ee62e8f42ed70e717b2571c372e9de9a
一般的なファイル名:lHe
偽装名:なし
検出名:W32.Gen:MinerDM.24ls.1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 11 月 11 日に Talos Group のブログに投稿された「Threat Source newsletter (Nov. 11, 2021)」の抄訳です。