Cisco Japan Blog

脅威情報ニュースレター(2021 年 11 月 4 日)

1 min read



Talos 読者の皆様、こんにちは。

Microsoft Exchange Server の一連の脆弱性がエクスプロイトされたことが今年初めに話題になりました。Exchange Server の脆弱性はその後も何度か取り上げられては話題から消えていましたが、攻撃者は今も虎視眈々とこの脆弱性を狙っています。

Babuk ランサムウェアを拡散している攻撃者は、Exchange Server の脆弱性を悪用して標的を感染させています。記事を読んで Babuk 攻撃の仕組みをご確認いただき、まだパッチを適用していない場合は必ず適用してください。

このようなランサムウェア攻撃に備えてインシデント対応(IR)計画popup_iconを準備しておくことはとても重要です。こちらの新しい策定ガイドは、IR 計画を新しく策定する場合にも、既存の計画を練り上げる場合にも役立つ内容となっていますので、ぜひご一読ください。

1 週間のサイバーセキュリティ概況

  • BlackMatter ランサムウェアグループのメンバーがカスタムのデータ漏洩ツールキットの使用を開始popup_icon。特定のファイルタイプを盗み出して攻撃者が管理するサーバーにアップロードしています。ツールには複数のバリエーションがあることをセキュリティ研究者が確認しており、大量のデータを流出させるために攻撃者がツールに変更を加えていると考えられます。
  • Google の新型スマートフォン Pixel 6 は新しいセキュリティ機能を搭載popup_icon。自社製システムオンチップの恩恵がここにも現れています。また同社は Pixel 6 のセキュリティアップデートを少なくとも 5 年間提供するとしています。
  • ヘルスアプリ Docket にバグが発覚、ニュージャージー州とユタ州に住むユーザーのワクチン接種状況などの情報が不正に取得できる状態にpopup_icon。このバグはすでに修正されています。Docket はワクチン接種証明アプリとしての使用が両州で承認されています。
  • 欧州刑事警察機構が LockerGoga ランサムウェアに関与した数名を逮捕popup_icon、マルウェアの活動停止へ。LockerGoga の感染被害は 71 か国 1,800 人以上に及んでいると推定されます。
  • 今年ランサムウェアの攻撃を受けた米国の学校がすでに 1,000 校近くにpopup_icon。学校のシステムを標的にした攻撃の件数は 2019 年に増加し、それ以降ペースは加速する一方です。
  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が米国のすべての重要インフラの洗い出しと分類を開始popup_icon。これらのインフラがサイバー攻撃を受けると日常生活に混乱が生じる恐れがあります。すべての重要インフラを把握することで、今後これらのサービスを保護する法律を制定、実施しやすくなると期待されています。
  • CISA のジェン・イースタリー長官、エクスプロイトされた既知の脆弱性のリストを CISA が作成中popup_iconであり今後政府機関にパッチ適用を求めていくと議会で証言。この指令は連邦政府機関のみが対象ですが、すべての企業がこのリストに厳密に従うことを推奨するとしています。
  • イラン、国内のガソリン販売を何日も中断させたpopup_iconサイバー攻撃は米国とイスラエルの仕業であると非難。販売停止を受けガソリン価格が上昇し、ガソリンスタンドは手動での営業を余儀なくされました。
  • Grief ランサムウェアグループが先週全米ライフル協会を攻撃popup_icon。Grief は米国政府の制裁対象になっているため身代金を支払うと処罰される可能性があり、同協会は難しい状況に陥っています。

最近の注目すべきセキュリティ問題

Microsoft Exchange の脆弱性、今度はランサムウェア Babuk によりエクスプロイト

Cisco Talos はこのほど、ランサムウェア Babuk の亜種を展開するサイバー攻撃を発見しました。被害を受けたのは米国のユーザーが大半ですが、英国、ドイツ、ウクライナ、フィンランド、ブラジル、ホンジュラス、タイでも件数は少ないものの感染例が確認されています。攻撃実行者は、攻撃で使用されているペイロードファイル名にちなんで、Tortilla とも呼ばれています。2021 年 7 月以降に活動を始めた新しい攻撃者ですが、Babuk を展開する前にも、PowerShell ベースの Netcat のクローンである Powercat など他のペイロードを試してきました。Powercat は、Windows マシンへの不正アクセスを取得できるツールとして知られています。最初の感染ベクトルは Microsoft Exchange Server の ProxyShell における脆弱性のエクスプロイトで、Web シェル China Chopper が使用された可能性があると Talos では推測しています。

Snort SID57873、57874

ClamAV シグネチャ:

  • Ransomware.Packer-7473772-1
  • Trojan.Swrort-5710536-0
  • Trojan.Powercat-9840812-0
  • Trojan.Swrort-9902494-0
  • Exploit.PetitPotam-9902441-0
  • Trojan.MSILAgent-9904224-0
  • Malware.Agent-9904986-0
  • Malware.Agent-9904987-0
  • Malware.Agent-9904988-0
  • Malware.Agent-9904989-0
  • Malware.Agent-9904990-0
  • Downloader.DarkTortilla-9904993-0
  • Trojan.DarkTortilla-9904994-0

MirrorBlast フィッシング攻撃、Excel スプレッドシートを使用して検出を回避popup_icon

この最近登場したマルウェアはフィッシング攻撃を展開しており、細工された Excel ファイルを使用して悪意のある URL やファイルを開くよう標的を誘導し、検出を回避しています。攻撃者はソーシャルエンジニアリングを駆使して Microsoft Office スイートでマクロを有効にするように仕向けます。Google ドライブや SharePoint のリンクも感染経路となっており、リンクをクリックすると Excel ファイルが参照されるという仕組みです。電子メールにファイルが添付されているケースもあります。スパムメールの内容で多いのは、新型コロナウイルス関連のニュースです。新型コロナはこの 2 年間で最も多くスパム攻撃に使用されたトピックの 1 つです。

Snort SID58430 ~ 58433

今週最も多く見られたマルウェアファイル

SHA 2565bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13popup_icon

MD5a6a7eb61172f8d988e47322ebf27bf6d

一般的なファイル名:wx.exe

偽装名:なし

検出名:Win.Dropper.Wingo::in07.talos

SHA 256e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762popup_icon  

MD56ea750c9d69b7db6532d90ac0960e212

VirusTotal

一般的なファイル名:deps.zip

偽装名:なし

検出名:Auto.E5044D5AC2.242358.in07.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:Antivirus Service

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2567b4da67a0eea0dce93c7d89c565319fe2645114ca0ff679948ad2a55819c79b4popup_icon

MD5990d51d0c45519da4d995f7c264733e5

一般的なファイル名:SAntivirusService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256fc8d064e05ebe37d661aeccb78f91085845e9e28ccff1f9b08fd373830e38b7fpopup_icon

MD5e0a50c60a85bfbb9ecf45bff0239aaa3

一般的なファイル名:gMpKaUjCkJ

偽装名:なし

検出名:WinGoRanumBot::mURLin::W32.Auto:fc8d064e05.in03.Talos

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 11 月 04 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Nov. 4, 2021)popup_icon」の抄訳です。

 

コメントを書く