脅威リサーチ

脅威情報ニュースレター（2022 年 1 月 20 日）

TALOS Japan
2022年1月28日

Talos 読者の皆様、こんにちは。

2022 年になって 1 か月近くが経とうとしていますが、2021 年の問題はまだ尾を引いています。そこで来週はソーシャルメディアでライブ配信を行い、昨年のサイバーセキュリティにおける注目の話題を振り返ってみようと思います。

Talos インシデント対応チームの Liz Waddell、脅威インテリジェンスチームの Matt Olney、Cisco Secure の Hazel Burton が登場して、Log4j やサプライチェーン攻撃などについて語ります。このライブストリームは Cisco Secure のソーシャルメディアプラットフォームか Talos の YouTube ページでご覧いただけます。

1 週間のサイバーセキュリティ概況

ウクライナで発生した直近のサイバーインシデントで政府が運営する多数の Web サイトが攻撃者によりハイジャックされる。重要なデータを失った機関もありました。この攻撃を最初に発見したのは Microsoft 社のセキュリティ研究チームで、「WhisperGate」と名付けました。
セキュリティ専門家と政府関係者がこれらのサイバー攻撃への対応に苦慮。ウクライナとロシアを巡る現在の難しい情勢を考えると、これらの攻撃が戦争行為または武力衝突につながる可能性のある行為に該当するかどうかは不明です。
米国当局の要請により、ロシア当局が REvil ランサムウェアグループのメンバーとされる数名を逮捕。サイバー攻撃から得た可能性がある数百万ドルの国際通貨も押収されました。
最大級のダークネットフォーラム UniCC が創設者の引退に伴って先週閉鎖。盗まれたクレジットカード情報を販売するこのフォーラムの創設者は、サイトの稼働期間中に 3 億 5,800 万ドルを稼いだと語っています。
米国サイバー軍がイラン政府の支援を受けた攻撃者として MuddyWater を正式認定。米国政府は同グループの戦術、手法、手順（TTP）の概要と、標的のネットワークへの侵入に使用される可能性があるエントリポイントも発表しました。
北朝鮮政府の支援を受けた攻撃者が 2021 年に約 4 億ドル相当の暗号通貨を窃取。これらのグループは 7 回の侵入でそれぞれ異なる仮想通貨ウォレットや取引サイトを標的にしたと伝えられています。
女性の権利を主張する著名な活動家 2 人が Pegasus スパイウェアに追跡されていると最近公表。この事例は、この種の追跡が女性の標的に多大な悪影響を及ぼすことを明らかにしています。
月例セキュリティ更新プログラムを適用すると一部のタイプの VPN 接続が中断される問題に対する修正を Microsoft 社がリリース。今月初めの更新プログラムは Microsoft Server の脆弱性を修正することが目的でした。
攻撃者が米国労働省の Web サイトに酷似したサイトを作成。政府の公契約に入札できるように見せかけていました。この偽 Web サイトは悪意のあるリンクに誘導して、ログインしようとしたユーザーのログイン情報を収集します。

最近の注目すべきセキュリティ問題

AWS や Azure を使用して一連の RAT を拡散する攻撃が発生

Cisco Talos はユーザーの情報に狙いを定めて Nanocore、Netwire、AsyncRAT の亜種を配布する攻撃を 2021 年 10 月に確認しました。Cisco Secure の製品テレメトリによると、主に米国、イタリア、シンガポールが標的になっています。この攻撃のダウンローダースクリプトでは複雑な難読化手法が使用されていました。難読化解除プロセスでは復号手法が各段階で次々に実行され、最終的に実際の悪意のあるダウンローダーメソッドが復号されます。この攻撃は Microsoft Azure や Amazon Web Services などのクラウドサービスを悪用した攻撃の最新事例です。攻撃者は悪意のある目的を達成するために、クラウドサービスを盛んに悪用しています。

Snort SID：58758 ～ 58773

ClamAV シグネチャ：

Dropper.HCrypt-9913873-0
Trojan.BatchDownloader-9913886-0
Trojan.AsyncRAT-9914220-0
Downloader.Agent-9914217-0
Trojan.Agent-9914218-0
Downloader.Agent-9914219-0
Packed.Samas-7998113-0
Trojan.NanoCore-9852758-0
Dropper.NetWire-8025706-0
Malware.Generickdz-9865912-0
Dropper.Joiner-6

H2 で Log4j 関連の Java の欠陥が見つかる

H2 オープンソース Java SQL データベースの重大な脆弱性をセキュリティ研究者が最近発見しました。これは大規模な Log4Shell エクスプロイトに似ていますが、H2 の問題は悪用するのが難しく攻撃対象領域が狭いため、それほど深刻ではないと考えられています。CVE-2021-42392 として識別されているこの欠陥がエクスプロイトされると、脆弱なシステムでリモートコードが実行される危険性があります。H2 は Web および IoT プラットフォームで開発者に広く使用されています。この問題は JNDI リモートクラスのロードにあります。H2 データベースフレームワークのいくつかのコードパスで、攻撃者が管理しているフィルタリングされていない URL を javax.naming.Context.lookup 関数に渡すことができる点が Log4Shell に似ています。

Snort SID：58876、58877

今週最も多く見られたマルウェアファイル

SHA 256：1b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37

MD5：a5e345518e6817f72c9b409915741689

一般的なファイル名：swupdater.exe

偽装名：Wavesor SWUpdater

検出名：W32.1B259D8CA9.Wavesor.SSO.Talos

SHA 256：d339e195ca0b74746b02a4ee1a5820fa3074f43bec2988737005d2562a90cd34

MD5： 3f75eb823cd1a73e4c89185fca77cb38

一般的なファイル名： signup.png

偽装名：なし

検出名： Win.Dropper.Generic::231945.in02

SHA 256：e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd

MD5： 8193b63313019b614d5be721c538486b

一般的なファイル名： SAService.exe

偽装名：SAService

検出名：PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 256：bda6b6c45eabfad23b72c1982820202fa35a73211680c90e2e9d04e98fe91dae

MD5：7c5eaac8c756691c422027f7b3458759

一般的なファイル名：santivirusservice.exe

偽装名：SA_Service

検出名：W32.Auto:bda6b6c45e.in03.Talos

SHA 256：8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2

MD5：fe3659119e683e1aa07b2346c1f215af

一般的なファイル名：SqlServerWorks.Runner.exe

偽装名：SqlServerWorks.Runner

検出名：W32.8639FD3EF8-95.SBX.TG

最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。