Cisco Japan Blog

脅威情報ニュースレター(2021 年 11 月 18 日)

1 min read



Talos 読者の皆様、こんにちは。

米国ではいよいよ来週が感謝祭。年末商戦が幕を開けるわけですが、「うまい話には裏がある」という言葉をいつにも増して肝に銘じておきたいものです。

サイバーマンデーやブラックフライデーのオンラインセールを楽しみにしている皆様のために、安全に買い物をするための留意点をこちらの記事popup_iconにまとめました。Talos の過去のポッドキャスト、ブログ記事、テレビ出演を紹介していますので、ぜひご覧ください。今年は特に、商品が品薄な状況を狙って攻撃者が一儲けを企んでいる可能性があります。XBOX Series X や PlayStation 5 関連の詐欺に十分ご注意ください。

この記事は新しいコンテンツを随時追加していきますので、ブックマークしてご利用ください。

今後予定されている Talos の公開イベント

AvengerCon VI パネル – ランサムウェア サイバー キル チェーンpopup_icon

講演者:Azim Khodjibaev

日時:11 月 30 日午後 1 時 10 分(東部時間)

場所:バーチャル

概要:「ランサムウェアに対抗していくには協力体制に基づいた革新的なアプローチが必要なのは明らかとなっており、企業、政府、情報セキュリティの専門家が一丸となって対応することが期待されています。しかし、どのようなアプローチを検討したらよいのでしょうか?ランサムウェアのエコシステムにはどのような弱点やシングルポイント障害があるのでしょうか?私たちの対抗策にランサムウェア攻撃者はどのように反撃してくる可能性があるのでしょうか?米国の攻撃者はこの状況をどう利用してくるのでしょうか?」Azim Khodjibaev をはじめとするセキュリティ研究の第一人者がこのパネルディスカッションで語ります。

1 週間のサイバーセキュリティ概況

  • FBI の電子メールとドメインをハッカーが悪用、サイバー犯罪捜査を装った偽の電子メールが送りつけられるpopup_icon。インタビューに応じた攻撃者は、FBI の Web サイトに脆弱性があることを示したかったと語っています。
  • Cisco Talos、難読化された Meterpreter ステージャを使用して Cobalt Strike ビーコンを展開するpopup_iconサイバー攻撃を 2021 年 9 月に発見。攻撃者はミャンマー政府が管理するドメインを攻撃用のサーバーにリダイレクトして標的のマシンに Cobalt Strike を展開していました。
  • ジョー・バイデン米大統領が大規模なインフラストラクチャ法案に正式署名、サイバーセキュリティに 20 億ドルの新規投資popup_icon。地方政府と州政府が大規模な助成金を申請して重要インフラの保護を強化できるようになりました。
  • 米国国土安全保障省がサイバーセキュリティ人材の新規採用に向けたpopup_icon新たな取り組みを開始。煩雑な手続きを緩和して給与を引き上げています。また 150 件の「優先的」な求人情報が月曜日に新たに公開されました。
  • 英国のサイバーセキュリティ対策の統括機関が今年は記録的な件数のサイバー攻撃に対応したpopup_iconと発表。その大半はロシアからのランサムウェア攻撃だということです。
  • Google のセキュリティ研究者がこれまで知られていなかった Mac の脆弱性popup_iconを悪用した攻撃を香港で確認。先週の時点で攻撃者を特定できるだけの情報は得られていませんが、「国家の支援を受けている可能性がある」と研究者は述べています。
  • ニュージーランド政府、「国全体にとって重要」と分類した組織に対するサイバー攻撃が前年比で 15% 増加したpopup_iconと発表。攻撃の約 35% は「侵入後」フェーズに達しており、2020 年と比べて 2 倍近くになっています。
  • 週末、Microsoft 社が Windows Server の定例外のセキュリティ更新プログラムをリリースpopup_icon。ユーザーがシングルサインオントークンか Active Directory サービスおよび SQL Server サービスを使用している場合にサーバーがユーザーの認証に失敗する脆弱性を修正しました。
  • 新しい「ボットネットスクール」popup_iconが Web 上で急増。大規模なボットネットを運用し拡大していく方法を教えています。これによってボットネットの活動が 2022 年に向けて増加していくのではないかと研究者は懸念しています。

最近の注目すべきセキュリティ問題

政府が管理する Web サイトを攻撃者がリダイレクトして Cobalt Strike を拡散

2021 年 9 月、Cisco Talos は、リーク版の Cobalt Strike を使用した新しいサイバー攻撃を発見しました。元々は正規ツールとして作成された Cobalt Strike ですが、攻撃を仕掛けるために利用されているため、引き続き監視が必要です。このマルウェアは攻撃対象のマシン上で動作し、反射型インジェクションによって Cobalt Strike ビーコンの DLL を復号して実行するという一般的なローダーです。実行時に複数のライブラリをロードし、組み込まれている設定ファイルに基づいてビーコントラフィックを生成します。設定ファイルには、コマンド & コントロール(C2)サーバーに関連する情報が含まれています。この設定情報は、ミャンマー政府が所有するドメイン www[.]mdn[.]gov[.]mm に接続を試みる最初の DNS リクエストを送信するよう攻撃対象のマシンに指示を出します。このサイトはコンテンツ配信ネットワーク Cloudflare でホストされていますが、実際の C2 トラフィックは、ビーコンの設定ファイル内に指定されている HTTP リクエストのホストヘッダー情報に基づいて、攻撃者が制御するサーバーである test[.]softlemon[.]net にリダイレクトされます。

ClamAV シグネチャ:Win.Backdoor.CobaltStrike-9909816-0

北朝鮮の攻撃者が悪意のあるブログを使用して韓国の著名機関にマルウェアを配布

Cisco Talos は、2021 年 6 月から Kimsuky APT グループによって新たなマルウェア攻撃が行われていることを確認しました。Kimsuky(別名 Thallium、Black Banshee)は北朝鮮の支援を受ける Advanced Persistent Threat(APT)グループで、2012 年から活動しています。この攻撃では、Blogspot でホストされている悪意のあるブログを通じて、予備情報を収集するための 3 種類の悪意のあるコンテンツ(ビーコン、ファイル窃取ツール、インプラント展開スクリプト)が配布されます。インプラント展開スクリプトが実行されると、システム情報窃取ツール、キーロガー、ログイン情報窃取ツールなどのインプラントがさらにエンドポイントに感染します。これらのインプラントは Kimsuky が遅くとも 2017 年から使用している Gold Dragon/Brave Prince マルウェアファミリに由来しています。このマルウェアファミリは現在 3 つのモジュールに分かれています。標的になっているのは韓国に拠点を置くシンクタンクで、北朝鮮、中国、ロシア、米国に関連する政治、外交、軍事面の研究を行っています。

Snort SID58496、58497

今週最も多く見られたマルウェアファイル

SHA 2561b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37popup_icon

MD5a5e345518e6817f72c9b409915741689

一般的なファイル名:swupdater.exe

偽装名:Wavesor SWUpdater

検出名:W32.1B259D8CA9.Wavesor.SSO.Talos

SHA 2565bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13popup_icon

MD5a6a7eb61172f8d988e47322ebf27bf6d

一般的なファイル名:wx.exe

偽装名:なし

検出名:Win.Dropper.Wingo::in07.talos

SHA 256e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762popup_icon

MD56ea750c9d69b7db6532d90ac0960e212

VirusTotal

一般的なファイル名:deps.zip

偽装名:なし

検出名:Auto.E5044D5AC2.242358.in07.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2561487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6popup_icon

MD5ee62e8f42ed70e717b2571c372e9de9a

一般的なファイル名:lHe

偽装名:なし

検出名:W32.Gen:MinerDM.24ls.1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 11 月 18 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (Nov. 18, 2021)popup_icon」の抄訳です。

 

コメントを書く