Cisco Japan Blog

脅威情報ニュースレター(2021 年 10 月 28 日)

1 min read



Talos 読者の皆様、こんにちは。

フライドチキンとワッフルを組み合わせた料理は米国南部のソウルフードとして知られていますが、リスとワッフルの組み合わせはご存知でしょうか?料理としてはあまり美味しそうではないかもしれませんが、サイバー空間ではタッグを組んで強力なスパム攻撃を展開しています。

新しい調査レポートでこの SQUIRRELWAFFLE と呼ばれる脅威を詳しく取り上げ、今後スパム攻撃で最も猛威を振るう脅威になるかどうかを解説していますのでご覧ください。

また、お待ちかねの 2022 年 Snort カレンダーが出来上がりました。今年のテーマは「Hoofstock ’22 — 音楽界の伝説達とめぐる 12 か月」です。2022 年 Snort カレンダーを入手したい方は、こちらpopup_iconの簡単なアンケートにお答えください。カレンダーの発送は 2021 年 11 月開始予定で、配送先は米国内のみとさせていただきます。数に限りがありますのでお早めに。

『脅威情報ニュースレター』で取り上げてほしい情報(脅威、IOC、マルウェアファミリ、攻撃者)があれば、threatsource@cisco.com までご連絡ください。

1 週間のサイバーセキュリティ概況

  • Facebook のリーク文書の内容が明らかに。各報道機関が著名な内部告発者からの情報を何週間もかけて調査し報じています。このいわゆる「Facebook ペーパー」popup_iconでは、Facebook が新型コロナワクチンに関する誤った情報を野放しにしていることや、英語以外の投稿に対するサポート体制が十分でないことが示されています。
  • このリーク文書を報道機関に提供した元従業員の Frances Haugen 氏が今週、英国議会でも証言popup_icon。Facebook のアルゴリズムはエンゲージメントを優先させており、フェイクニュースの拡散を助長しかねないと同氏は述べています。
  • 複数の国のセキュリティ研究者が先週 REvil ランサムウェアグループを停止に追い込むpopup_icon。同グループはこれまで米国の Colonial Pipeline 社や食肉加工大手 JBS 社などを攻撃してきました。
  • 被害が広がっている Pegasus スパイウェアの危険性popup_iconを実際に感染したジャーナリストが語る。セキュリティ研究者の協力を得て侵入経路を探ったものの、多くの疑問が解けていないとのことです。
  • 英国の大手食料品チェーン Tesco 社がサイバー攻撃を受け、現在も Web サイトとアプリが停止中popup_icon。コロナ禍でオンラインストアの利用が広がっている中での出来事に、注文できなかったユーザーからは不満の声が上がっています。
  • 先週ランサムウェアの攻撃を受けたシンクレア ブロードキャスト グループの従業員がまだ通常業務に戻れていないと語るpopup_icon。この攻撃によってシステムが停止し、高視聴率を誇る日曜日の各地での NFL の試合が一部の放送局で放送できない事態になりました。
  • 著名な非営利団体が運営する多くの Web サイトにユーザーの行動を監視する多数の広告トラッカーが存在popup_icon。これらの非営利団体はこのデータを誰に販売し、どのくらい利益を得ているのでしょうか?
  • オランダ政府の支援を受けたフォレンジックラボが Tesla の運転データストレージシステムを復号したpopup_iconと発表。事故発生時に運転手が車両の追跡データを入手できるようになる可能性があります。
  • 米国最大のキャンディコーンメーカー、週末にランサムウェア攻撃を受ける。同社の縞模様の商品はハロウィンの定番ですが、攻撃の影響で生産に混乱が生じているpopup_iconとのことです。

最近の注目すべきセキュリティ問題

SQUIRRELWAFFLE が Emotet の空白を埋めてスパム攻撃で猛威を振るうか?

最近、「SQUIRRELWAFFLE」と呼ばれる新しい脅威が広がっており、スパム攻撃を通じて新しいマルウェアローダを感染させています。このマルウェアファミリは勢力が拡大していて、今後スパム攻撃で最も猛威を振るう脅威になる可能性があります。SQUIRRELWAFFLE はシステムとネットワーク環境を攻撃するための最初の足がかりを確立します。攻撃者はそれを利用してさらなる侵害やマルウェア感染の拡大を図り、金銭詐取につなげていこうとします。またこれらの攻撃では Qakbot などの他のマルウェアやペネトレーション テスト ツールである Cobalt Strike を配布してシステムに感染させることも多くなっています。この脅威は今後広く蔓延していく可能性があるので警戒が必要です。

Snort SID58277 – 58281

ClamAV シグネチャ:Doc.Downloader.SquirrelWaffle09210-9895192-0, Xls.Downloader.SquirrelWaffle20921-9895790-0, Xls.Downloader.SquirrelWaffle1021-9903731-0

アフガニスタンとインドで複数のコモディティ型 RAT を使用した攻撃が発生

最近発見された Apache HTTP Server(CVE-2021-41733)の脆弱性が活発にエクスプロイトされています。これはパストラバーサルおよびファイル開示の脆弱性であり、攻撃者がドキュメントルートの外にあるファイルに URL をマッピングする可能性があります。CGI スクリプトなど解釈されたファイルのソースが漏洩する危険性もあります。本脆弱性のエクスプロイトは複雑ではないため、Apache HTTP Server の全ユーザにとって重大な脅威となります。脆弱性が存在するのは Apache の最新バージョン(2.4.49)です。古いバージョンの Apache を実行しているユーザには、現在のところ影響はありません。バージョン 2.4.50 で CVE-2021-41733 の修正が行われましたが、それでは不十分であることが判明し、現在 Apache から別の新たな脆弱性(CVE-2021-42013)として報告されています。これを受け、問題を完全に解決するためにバージョン 2.4.51 がリリースされました。できるだけ早く 2.4.51 にアップグレードするようお勧めします。

Snort SID58356 – 58361

今週最も多く見られたマルウェアファイル

SHA 2563993aa1a1cf9ba37316db59a6ef67b15ef0f49fcd79cf2420989b9e4a19ffc2apopup_icon

MD53c3046f640f7825c720849aaa809c963

一般的なファイル名:app.exe

偽装名:なし

検出名:Auto.3993AA.242356.in02

SHA 256e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762popup_icon

MD56ea750c9d69b7db6532d90ac0960e212

VirusTotal

一般的なファイル名:deps.zip

偽装名:なし

検出名:Auto.E5044D5AC2.242358.in07.Talos

SHA 256d339e195ca0b74746b02a4ee1a5820fa3074f43bec2988737005d2562a90cd34popup_icon

MD53f75eb823cd1a73e4c89185fca77cb38

一般的なファイル名:signup.png

偽装名:なし

検出名:Win.Dropper.Generic::231945.in02

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2popup_icon

MD5fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlBase.exe

偽装名:SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

SHA 2561487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6popup_icon

MD5ee62e8f42ed70e717b2571c372e9de9a

一般的なファイル名:lHe

偽装名:なし

検出名:W32.Gen:MinerDM.24ls.1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 10 月 28 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 28, 2021)popup_icon」の抄訳です。

コメントを書く