脅威情報ニュースレター（2021 年 10 月 28 日）

Talos 読者の皆様、こんにちは。

フライドチキンとワッフルを組み合わせた料理は米国南部のソウルフードとして知られていますが、リスとワッフルの組み合わせはご存知でしょうか？料理としてはあまり美味しそうではないかもしれませんが、サイバー空間ではタッグを組んで強力なスパム攻撃を展開しています。

新しい調査レポートでこの SQUIRRELWAFFLE と呼ばれる脅威を詳しく取り上げ、今後スパム攻撃で最も猛威を振るう脅威になるかどうかを解説していますのでご覧ください。

また、お待ちかねの 2022 年 Snort カレンダーが出来上がりました。今年のテーマは「Hoofstock ’22 — 音楽界の伝説達とめぐる 12 か月」です。2022 年 Snort カレンダーを入手したい方は、こちらの簡単なアンケートにお答えください。カレンダーの発送は 2021 年 11 月開始予定で、配送先は米国内のみとさせていただきます。数に限りがありますのでお早めに。

『脅威情報ニュースレター』で取り上げてほしい情報（脅威、IOC、マルウェアファミリ、攻撃者）があれば、threatsource@cisco.com までご連絡ください。

1 週間のサイバーセキュリティ概況

• Facebook のリーク文書の内容が明らかに。各報道機関が著名な内部告発者からの情報を何週間もかけて調査し報じています。このいわゆる「Facebook ペーパー」では、Facebook が新型コロナワクチンに関する誤った情報を野放しにしていることや、英語以外の投稿に対するサポート体制が十分でないことが示されています。
• このリーク文書を報道機関に提供した元従業員の Frances Haugen 氏が今週、英国議会でも証言。Facebook のアルゴリズムはエンゲージメントを優先させており、フェイクニュースの拡散を助長しかねないと同氏は述べています。
• 複数の国のセキュリティ研究者が先週 REvil ランサムウェアグループを停止に追い込む。同グループはこれまで米国の Colonial Pipeline 社や食肉加工大手 JBS 社などを攻撃してきました。
• 被害が広がっている Pegasus スパイウェアの危険性を実際に感染したジャーナリストが語る。セキュリティ研究者の協力を得て侵入経路を探ったものの、多くの疑問が解けていないとのことです。
• 英国の大手食料品チェーン Tesco 社がサイバー攻撃を受け、現在も Web サイトとアプリが停止中。コロナ禍でオンラインストアの利用が広がっている中での出来事に、注文できなかったユーザーからは不満の声が上がっています。
• 先週ランサムウェアの攻撃を受けたシンクレア ブロードキャスト グループの従業員がまだ通常業務に戻れていないと語る。この攻撃によってシステムが停止し、高視聴率を誇る日曜日の各地での NFL の試合が一部の放送局で放送できない事態になりました。
• 著名な非営利団体が運営する多くの Web サイトにユーザーの行動を監視する多数の広告トラッカーが存在。これらの非営利団体はこのデータを誰に販売し、どのくらい利益を得ているのでしょうか？
• オランダ政府の支援を受けたフォレンジックラボが Tesla の運転データストレージシステムを復号したと発表。事故発生時に運転手が車両の追跡データを入手できるようになる可能性があります。
• 米国最大のキャンディコーンメーカー、週末にランサムウェア攻撃を受ける。同社の縞模様の商品はハロウィンの定番ですが、攻撃の影響で生産に混乱が生じているとのことです。

最近の注目すべきセキュリティ問題

SQUIRRELWAFFLE が Emotet の空白を埋めてスパム攻撃で猛威を振るうか？

最近、「SQUIRRELWAFFLE」と呼ばれる新しい脅威が広がっており、スパム攻撃を通じて新しいマルウェアローダを感染させています。このマルウェアファミリは勢力が拡大していて、今後スパム攻撃で最も猛威を振るう脅威になる可能性があります。SQUIRRELWAFFLE はシステムとネットワーク環境を攻撃するための最初の足がかりを確立します。攻撃者はそれを利用してさらなる侵害やマルウェア感染の拡大を図り、金銭詐取につなげていこうとします。またこれらの攻撃では Qakbot などの他のマルウェアやペネトレーション テスト ツールである Cobalt Strike を配布してシステムに感染させることも多くなっています。この脅威は今後広く蔓延していく可能性があるので警戒が必要です。

Snort SID：58277 – 58281

ClamAV シグネチャ：Doc.Downloader.SquirrelWaffle09210-9895192-0, Xls.Downloader.SquirrelWaffle20921-9895790-0, Xls.Downloader.SquirrelWaffle1021-9903731-0

アフガニスタンとインドで複数のコモディティ型 RAT を使用した攻撃が発生

最近発見された Apache HTTP Server（CVE-2021-41733）の脆弱性が活発にエクスプロイトされています。これはパストラバーサルおよびファイル開示の脆弱性であり、攻撃者がドキュメントルートの外にあるファイルに URL をマッピングする可能性があります。CGI スクリプトなど解釈されたファイルのソースが漏洩する危険性もあります。本脆弱性のエクスプロイトは複雑ではないため、Apache HTTP Server の全ユーザにとって重大な脅威となります。脆弱性が存在するのは Apache の最新バージョン（2.4.49）です。古いバージョンの Apache を実行しているユーザには、現在のところ影響はありません。バージョン 2.4.50 で CVE-2021-41733 の修正が行われましたが、それでは不十分であることが判明し、現在 Apache から別の新たな脆弱性（CVE-2021-42013）として報告されています。これを受け、問題を完全に解決するためにバージョン 2.4.51 がリリースされました。できるだけ早く 2.4.51 にアップグレードするようお勧めします。

Snort SID：58356 – 58361

今週最も多く見られたマルウェアファイル

SHA 256：3993aa1a1cf9ba37316db59a6ef67b15ef0f49fcd79cf2420989b9e4a19ffc2a

MD5：3c3046f640f7825c720849aaa809c963

一般的なファイル名：app.exe

偽装名：なし

検出名：Auto.3993AA.242356.in02

SHA 256：e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762

MD5：6ea750c9d69b7db6532d90ac0960e212

VirusTotal：

一般的なファイル名：deps.zip

偽装名：なし

検出名：Auto.E5044D5AC2.242358.in07.Talos

SHA 256：d339e195ca0b74746b02a4ee1a5820fa3074f43bec2988737005d2562a90cd34

MD5：3f75eb823cd1a73e4c89185fca77cb38

一般的なファイル名：signup.png

偽装名：なし

検出名：Win.Dropper.Generic::231945.in02

SHA 256：8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2

MD5：fe3659119e683e1aa07b2346c1f215af

一般的なファイル名：SqlBase.exe

偽装名：SqlServerWorks.Runner

検出名：W32.8639FD3EF8-95.SBX.TG

SHA 256：1487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6

MD5：ee62e8f42ed70e717b2571c372e9de9a

一般的なファイル名：lHe

偽装名：なし

検出名：W32.Gen:MinerDM.24ls.1201

最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2021 年 10 月 28 日に Talos Group のブログに投稿された「Threat Source newsletter (Oct. 28, 2021)」の抄訳です。