Cisco Japan Blog

脅威情報ニュースレター(2021 年 12 月 9 日)

1 min read



Talos 読者の皆様、こんにちは。

Cisco Talos インシデント対応チームは今、認定ラッシュに沸き返っています。まず、インシデント対応業界を紹介する Forrester 社の最新の四半期レポートに当チームが掲載され、インシデント対応サービスプロバイダとして認定されました。またその直前に発表された IDC MarketScape レポートでも、当チームが IR サービスにおけるリーダーの評価を獲得しました。

IT 好きの人に喜ばれるホリデーギフトをお探しの方は、SNORTⓇ カレンダーを無料で配布しておりますので今すぐお申し込みください。こちらの簡単なアンケートpopup_iconに記入いただくだけで、カレンダーを無料でお送りいたします(申し訳ございませんが、配送先は米国内のみとさせていだたきます)。

1 週間のサイバーセキュリティ概況

  • 米国国務省に勤務する複数の職員の iPhone が Pegasus スパイウェアに感染popup_iconしていたことが最近のレポートで判明。Apple 社は最近、同社のデバイスが Pegasus の標的になったとして、このスパイウェアを作成した NSO Group を提訴しました。
  • 先週、レシートプリンタの乗っ取りが発生popup_icon。何者かが、労働に反対するメッセージを米国の多数の企業に送り付けました。乗っ取られたプリンタからは長文が印刷され、その内容は、給料について同僚と話し合い、仕事に不満がある場合は退職するよう従業員に促すものでした。
  • Google を含む大手テクノロジー企業の多くが従業員に対する多要素認証の義務付けを推進。しかし攻撃者はすでに回避策を編み出していますpopup_icon
  • メリーランド州保健省のいくつかの重要なサービスがサイバー攻撃を受けて中断popup_icon。同州の入院患者は増加していますが、水曜日午後現在、同省の新型コロナウイルスの追跡情報は更新されていません。個人データの侵害はなかったと当局は述べています。
  • 「Babam」というネットワーク アクセス ブローカーがこの 2 年で急速に人気を集める。盗まれた VPN ログイン情報を攻撃者に販売しており、標的ネットワークへの侵入やマルウェアの拡散に悪用されています。Babam についてこれまでに判明している事実を研究者が記事にまとめていますpopup_icon
  • 2 年近く続くコロナ禍と在宅勤務という新たな現実の中で、あらゆる業界で従業員の疲弊が深刻化。そのためセキュリティに関するガイドラインをおろそかにしてしまうpopup_icon組織や個人が多くなっています。
  • Microsoft 社が 1 万を超す中国の Web サイトの制御を掌握popup_icon。同社の話では、問題の Web サイトを使用していたのは「高度に洗練された」攻撃グループだということです。米国を含む 29 か国の政府機関、シンクタンク、人権団体が遅くとも 2016 年から標的にされていたと記事は伝えています。
  • Google が Glupteba ボットネットを無力化popup_iconする措置を講じたと発表。同社は攻撃に使用されていた 100 件以上の Google アカウントを無効にして攻撃者らを提訴し、ボットネットで使用されていたサーバーをシャットダウンしました。
  • 世界の金融システムに対する大規模なサイバー攻撃を想定した 10 か国合同演習popup_iconがイスラエル主導の下で最近実施。世界の外国為替市場と債券市場、および輸入業者と輸出業者の間の取引に対して一連の攻撃が行われたと仮定して演習が行われました。

最近の注目すべきセキュリティ問題

Magnat がマルバタイジング攻撃を展開し、情報窃取マルウェア、バックドア、悪意のある Chrome 拡張機能を配布popup_icon

Talos はこのほど、人気ソフトウェアのインストーラに見せかけてマルウェアを配布し、標的のシステムで実行させるという攻撃を確認しました。2018 年後半に始まった一連のマルウェア配布攻撃もその一環です。主な標的はカナダで、他にも米国、オーストラリア、一部の EU 諸国が狙われています。今回の攻撃では、これまで文書化されていなかった 2 種類のマルウェアファミリ(バックドアと悪意のある Google Chrome 拡張機能)が一貫して確認されており、同時に配布されています。攻撃を実行しているのは「Magnat」という正体不明の攻撃者で、新たに登場した 2 種類のマルウェアを作成したのもおそらく同じ攻撃者です。マルウェアの開発と改良も絶えず続けています。盗んだログイン情報の販売、不正な取引、システムへのリモート デスクトップ アクセスによって金銭的利益を得ることが狙いだと考えられます。

SNORT SID58650、58651

ClamAV 署名:Win.Dropper.MagnatExtension-9911899-0

人気の高いパッチ管理ソフトウェアの脆弱性をエクスプロイトする攻撃が活発化popup_icon

ソフトウェア会社 Zoho は、同社の Desktop Central および Desktop Central MSP サービスをできるだけ早く更新するようにユーザーに注意喚起しました。両製品には追跡コード CVE-2021-44515 が付与されている脆弱性があり、それをエクスプロイトする攻撃が活発化しています。この攻撃を受けると、影響を受ける ManageEngine Desktop Central サーバーで認証がバイパスされ、任意のコードが実行される危険性があります。Zoho 社は、この脆弱性を狙った攻撃の標的になったかどうかを確認するためのエクスプロイト検出ツールもリリースしています。

SNORT SID58703

今週最も多く見られたマルウェアファイル

SHA 2560ab024b0da0436fddc99679a74a26fdcd9851eb00e88ff2998f001ccd0c9016fpopup_icon 

MD5ee30d6928c9de84049aa055417cc767e

一般的なファイル名:app.exe

偽装名:なし

検出名:Glupteba::gravity::W32.Auto:0ab024b0da.in03.Talos

SHA 2565bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13popup_icon

MD5: a6a7eb61172f8d988e47322ebf27bf6d 

一般的なファイル名:wx.exe

偽装名:なし

検出名:Win.Dropper.Wingo::in07.talos

SHA 2561b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37popup_icon

MD5a5e345518e6817f72c9b409915741689 

一般的なファイル名:swupdater.exe 

偽装名:Wavesor SWUpdater

検出名W32.1B259D8CA9.Wavesor.SSO.Talos

SHA 256: e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762popup_icon  

MD56ea750c9d69b7db6532d90ac0960e212

VirusTotal

一般的なファイル名:deps.zip

偽装名:なし

検出名:Auto.E5044D5AC2.242358.in07.Talos

SHA 2561487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6popup_icon

MD5ee62e8f42ed70e717b2571c372e9de9a

一般的なファイル名:lHe

偽装名:なし

検出名: W32.Gen:MinerDM.24ls.1201 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 12 月 09 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (Dec. 9, 2021)popup_icon」の抄訳です。

 

コメントを書く