Talos 読者の皆様、こんにちは。
米国では感謝祭の祝日でしたが、少しものんびりできませんでした。週末の長めの休みにしっかり食べてたっぷり睡眠をとろうとしたのですが、いかんせん面白いコンテンツが多すぎます。というわけで今週もニュースをご紹介します。
シスコは、最近発表された IDC MarketScape レポートでインシデント対応サービスのリーダーの評価を受け、一足早いクリスマスプレゼントとなりました。非常に名誉なことなので誇りに思います。シスコのインシデント対応サービスは何が違うのか、ぜひこちらのブログでご確認ください。
他にもうれしいご報告があります。先ごろ、Cisco Talos インシデント対応チームに CTIR レッドチームが加わってチームが大きくなりました。ペネトレーションテストを担当するチームですが、実在のオフィスへの侵入を試みる物理的な侵入テストも実施しています。今回公開した新しいケーススタディでは、お客様の Web サイトに潜む脆弱性が悪用される前に、レッドチームが脆弱性をどうやって検出し、修復を支援したかをご紹介しています。
1 週間のサイバーセキュリティ概況
- Google Play ストアで累計 30 万回以上ダウンロードされた
一連のアプリがユーザーの銀行口座情報を詐取。問題のアプリは、QR コードスキャナ、PDF スキャナ、暗号通貨ウォレットを装っていました。 - Apple 社が Pegasus スパイウェアの作成元である NSO Group を提訴。同社の申し立てによると、NSO Group はスパイウェア攻撃の手法をクライアントに具体的に説明したほか、偽の Apple ID を 100 個ほど作ってクライアントが攻撃に利用できるようにしたとのことです。
- 入手しやすくなった Android 12 に新しいプライバシー機能が登場。特定のアプリのプライバシー設定を手軽にカスタマイズできるようになっており、パーソナライズされた広告トラッキングの拒否設定も以前より簡単になりました。
- 小売チェーン IKEA 社が電子メールによるサイバー攻撃の標的に。社内の電子メールをハイジャックし、「全員に返信」でマルウェアリンクを拡散するという手口でした。
- ブロックチェーンを手がけるスタートアップ企業のネットワークに潜んでいた脆弱性が狙われ、3,000 万ドル相当以上の暗号通貨トークンが不正流出。同社の話では、現在攻撃者との接触を試みており、全額の返金を求めるということです。
- ネットワーク製品に数年潜んでいた脆弱性が原因で AT&T 社の数千もの顧客がデータ窃取マルウェアに感染か。今回標的にされた脆弱性が初めて検出されたのは 2017 年でした。
- 新たに Facebook の親会社となった Meta 社、Facebook で展開されていた新型コロナにまつわる大規模なデマ情報の流布を阻止したと発表。問題のグループは、スイスの科学者(実在しない)の意見だとして虚偽の主張を拡散していたとのことです。中国企業の複数の従業員がデマの拡散に関与していたとも同社は述べています。
最近の注目すべきセキュリティ問題
攻撃者がシステム管理者になる恐れのある Windows インストーラの脆弱性
このほど、セキュリティ研究者らが Windows インストーラの脆弱性を発見しました。権限が限られているユーザーアカウントを持つ攻撃者が、自分の権限を昇格させて管理者になることができるというものです。パッチが完全に適用された Windows 11 と Windows Server 2022 も含め、Microsoft Windows のすべてのバージョンに影響します。Cisco Talos では、この脆弱性をエクスプロイトしようとするマルウェアのサンプルをすでに検出しています。Microsoft 社は、CVE-2021-41379 の修正を目的とした更新プログラムを、月例のセキュリティ更新プログラムの一環として 11 月 9 日にリリースしました。この特権昇格の脆弱性を最初に発見したセキュリティ研究者の Abdelhamid Naceri 氏も、同社と協力して対処しています。しかし、Microsoft 社がリリースしたパッチでは脆弱性を修正しきれていません。Naceri 氏は、11 月 22 日に GitHub で概念実証のエクスプロイトコードを公開しています。同氏がリリースしたコードは、Microsoft Edge Elevation Service の任意アクセス制御リスト(DACL)を利用して、システム上の任意の実行ファイルを MSI ファイルに置き換えるというものです。この結果、攻撃者が管理者としてコードを実行できるようになります。
SNORTⓇ SID:58635 および 58636
Emotet が復活、2021 年の締めくくりにボットネットの再構築を開始
Emotet はこの数年で最も猛威を振るった脅威の 1 つです。スパム電子メール攻撃によって配布されるのが一般的で、多くの場合、標的の環境に攻撃のための最初の足がかりを構築して、さらなるマルウェア感染につなげていきます。電子メール攻撃の特徴について記事にまとめているのでご覧ください。2021 年初めに国際警察機関が Emotet の活動を封じ込めるテイクダウン作戦を実施したと発表し、ボットネットを停止に追い込んでいました。ところが先週、Emotet が復活してインフラを確立しており、ボットネットの再構築に必要な配布攻撃を行っていることが確認されました。現在の配布攻撃は Emotet が最も猛威を振るっていた時期の攻撃量には達していませんが、これは Emotet 復活の狼煙であり、感染システムが増えてスパム配布に利用されるにつれて勢力が拡大していく可能性があります。
SNORTⓇSID:548402、43890、51971、55931、57901
ClamAV 署名:Xls.Downloader.EmotetExcel112100-9910690-0、Doc.Downloader.EmotetRed112100-9910732-0、Win.Trojan.Emotet11210-9911407-0
今週最も多く見られたマルウェアファイル
SHA 256:0ab024b0da0436fddc99679a74a26fdcd9851eb00e88ff2998f001ccd0c9016f
MD5:ee30d6928c9de84049aa055417cc767e
一般的なファイル名:app.exe
偽装名:なし
検出名:Glupteba::gravity::W32.Auto:0ab024b0da.in03.Talos
SHA 256:5bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13
MD5:a6a7eb61172f8d988e47322ebf27bf6d
一般的なファイル名:wx.exe
偽装名:なし
検出名:Win.Dropper.Wingo::in07.talos
SHA 256:1b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37
MD5:a5e345518e6817f72c9b409915741689
一般的なファイル名:swupdater.exe
偽装名:Wavesor SWUpdater
検出名:W32.1B259D8CA9.Wavesor.SSO.Talos
SHA 256:e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762
MD5:6ea750c9d69b7db6532d90ac0960e212
VirusTotal:
一般的なファイル名:deps.zip
偽装名:なし
検出名:Auto.E5044D5AC2.242358.in07.Talos
SHA 256:1487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6
MD5:ee62e8f42ed70e717b2571c372e9de9a
一般的なファイル名:lHe
偽装名:なし
検出名:W32.Gen:MinerDM.24ls.1201
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 12 月 02 日に Talos Group
Authors