Talos 読者の皆様、こんにちは。
Log4j にはいい加減辟易しているというのに、昔ながらのマルウェアが 2022 年も大暴れしています。まだ多くのセキュリティ担当者が Log4j に悩まされているかと思いますが、悪党たちは飽くことなく Log4j のほかにも頭痛の種をばらまいています。Cisco Talos は、Amazon Web Services や Microsoft Azure Sphere などのパブリック インターネット インフラストラクチャを使用して 3 つの異なるリモートアクセスツール(RAT)を拡散する攻撃について新たな調査を行いました。
Log4j の大騒ぎから離れて気分転換を図りたい方は、『Beers with Talos(Talos とビールを)』の新エピソードをお聞きください。肩の力を抜いて語り合う楽しい回となっています。残念ながら Joel は今回が最後の出演となりましたが、テキーラを飲みながら「賃借」について話を繰り広げています。
1 週間のサイバーセキュリティ概況
- イラン政府の支援を受けた有名な攻撃者が Log4j の大規模な脆弱性をエクスプロイトして新しい PowerShell バックドアを配布。この APT35 というグループが配布するバックドアに感染すると、C2 通信が確立され、システムの列挙が実行されます。また追加のモジュールが復号されロードされます。
- Log4j の脆弱性を受け、米国政府がオープンソースソフトウェアのセキュリティについて主要テクノロジー企業と協議する会議を主催へ。Apache(Log4j のメーカー)、Google、Microsoft、VMware の代表者らが参加する予定です。
- H2 データベースエンジンに Log4shell と同様の脆弱性。ただし Log4shell ほど深刻ではなさそうです。この脆弱性がエクスプロイトされると標的のサーバーが乗っ取られる危険性がありますが、Log4shell の場合よりもネットワーク全体への拡散は難しいでしょう。
- 欧州連合が複数の加盟国の重要インフラに対してサイバー攻撃のシミュレーションを開始。欧州の指導者の間でロシアによるウクライナへの軍事介入の懸念が広がっていることがこの演習の背景となっています。
- 民間の調査員が一般的に使用している著名な検索データベースへのアクセスを販売するとハッカーが宣伝。TransUnion を使用するためのログイン情報を提供できると述べています。これを使用するとソーシャルセキュリティ番号や住所などの個人の機密情報を検索できます。
- コネチカット州に本拠を置くソフトウェア会社に対するランサムウェア攻撃によって世界中の 5,000 を超す学校の Web サイトが影響を受ける。この攻撃によって学校と生徒の間のコミュニケーションが一時的に中断され、特にオンライン授業に影響が出ました。
- 世間を騒がせた複数のサイバー攻撃を行ったとして最近米国が起訴して引き渡されたロシア人が、2016 年の米国大統領選挙に対するロシアの干渉に関連する機密文書にアクセスしていた可能性。ロシア政府の支援を受けた攻撃者が選挙結果に影響を与えるために多数のデマ情報を流布したことはよく知られています。
- Apple 社の最新の iOS オペレーティングシステムに、スマートフォンに入れているアプリに関するプライバシーレポートをダウンロードする機能が追加。特定のアプリが収集している情報とバックグラウンドでの実行頻度をプレーンテキストで確認できるようになりました。
- 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁が、ロシア政府の支援を受けた攻撃者による一連の攻撃に関する新たな詳細を発表。アドバイザリによると、このグループは Microsoft Exchange Server や F5 BIG-IP などに存在するよく知られた脆弱性を多数エクスプロイトしています。
最近の注目すべきセキュリティ問題
Microsoft セキュリティ更新プログラム(月例):2022 年 1 月に公開された脆弱性と、対応する Snort ルール
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のハードウェアおよびソフトウェアの大規模なコレクションで確認された 102 件の脆弱性についての情報を公開しました。今回 Microsoft 社が公開した脆弱性の件数は、この 8 か月間の月例セキュリティ更新プログラムの中で最多となりましたが、Microsoft 社によると実際にエクスプロイトされている脆弱性はありません。2022 年最初のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 9 件で、残りは 1 件を除き「重要」と評価されています。CVE-2022-21840 は「緊急」と評価された Microsoft Office の脆弱性で、エクスプロイトされると標的のマシンでリモートコードが実行される危険性があります。CVE-2022-21841、CVE-2022-21837、CVE-2022-21842 も Office 製品スイートにおけるリモートコード実行の脆弱性ですが、評価は「重要」となっています。以上の 4 件の脆弱性には特に注意する必要があります。細工した文書を標的に開かせるという攻撃者がよく使用する戦術によってトリガーされる危険性があるためです。
Snort SID:40689、40690、58859、58860、58866 ~ 58869、58870 ~ 58875
Adobe Acrobat DC で任意のコード実行の脆弱性を 2 件発見
Cisco Talos はこのほど、Garrett 社の金属探知機のデバイスに複数の脆弱性を発見しました。エクスプロイトされると、リモートの攻撃者が認証要件を回避して金属探知機の設定を操作できるようになるだけでなく、デバイスで任意のコードが実行される危険性があります。具体的に言うと、脆弱性が存在するのは Garrett iC モジュールです。保安検査場で一般的に使用されているゲート型金属探知機 Garrett PD 6500i または Garrett MZ 6100 へのネットワーク接続を提供するこのモジュールが攻撃者によって操作され、アラームが鳴ったかどうかや通過した人数などの金属探知機の統計情報がリモートでモニターされる可能性があります。また、デバイスの感度などの設定が変更されてしまい、これらの金属探知機に頼っているユーザーに保安上のリスクをもたらす恐れがあります。
参照:https://gblogs.cisco.com/jp/2022/01/talos-adobe-acrobat-vuln-spotlight/
https://helpx.adobe.com/jp/security/security-bulletin.html
Snort SID:58013 ~ 58017
今週最も多く見られたマルウェアファイル
SHA 256:1b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37
MD5:a5e345518e6817f72c9b409915741689
一般的なファイル名:swupdater.exe
偽装名:Wavesor SWUpdater
検出名:W32.1B259D8CA9.Wavesor.SSO.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:0fa5cf65905b79ede6fe39e9ee8a8a8b2d04b71b859fe6e7a0ee583a7b832f43
MD5:cbd421ed5799f498e42ec6c598dc0aef
一般的なファイル名:なし
偽装名:なし
検出名:W32.Auto:0fa5cf6590.in03.Talos
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5: 8193b63313019b614d5be721c538486b
一般的なファイル名: SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2
MD5:fe3659119e683e1aa07b2346c1f215af
一般的なファイル名:SqlServerWorks.Runner.exe
偽装名:SqlServerWorks.Runner
検出名:W32.8639FD3EF8-95.SBX.TG
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2022 年 01 月 13 日に Talos Group のブログに投稿された「Threat Source Newsletter (Jan. 13, 2022)」の抄訳です。