Talos 読者の皆様、こんにちは。
新年は気分を一新したいところですが、2021 年の失敗から学ぶことも大切です。Log4j に脆弱性が見つかったからといって、ロギングを停止したり、オープンソースソフトウェアの使用を停止したりする必要はありません。
『Beers with Talos(Talos とビールを)』 の最新エピソードが今朝公開されました。今回は SolarWinds から Log4j まで、昨年の主要なサイバー攻撃について取りあげています。それと併せて、最新の Talos インシデントレスポンス脅威評価レポートもご覧ください。インシデントに現場で対応してきた IR チームが、昨年の傾向を細かく解説しています。
今週は、iOS と macOS に影響する複数の注目すべき脆弱性や、人気のある Wi-Fi 対応カメラで見つかった一連の脆弱性も公開しました。後者の脆弱性では、メモリーカードを再フォーマットして完全に消去される危険性があります。
1 週間のサイバーセキュリティ概況
- 攻撃者が root 権限でリモートコードを実行できる、2 件の重大な脆弱性が Linux サーバーで発見される。問題の原因になっているのは Control Web Panel(CWP)です。これは世界中の何十万ものサーバーで使用されている、一般的な Web ホスティング管理ソフトウェアです。
- Apple 社、iOS 15 と WatchOS 8 の新バージョンを含めた製品全体で多数のセキュリティアップデートをリリース。同社が開示した脆弱性の 1 件では、ユーザーの iCloud ファイルが攻撃者によってアクセスされる可能性があります。
- 米国がウクライナでの物理的な戦争に反対した場合、ロシア政府が支援する攻撃者によって重要なインフラがサイバー攻撃を受ける危険性があるとして、米国国土安全保障省が米国市民に警告。ロシア軍は現在、ウクライナ国境近くに集結しており、軍事的な緊張を高めています。
- 米国の電力網に対する大規模なサイバー攻撃が懸念されるなか、各防衛機関は緊急訓練の頻度を増加させる。これに伴い、大規模な攻撃を想定した具体的な準備も進んでいます。
- Android スマートフォンを狙った、感染件数の多いバンキング型トロイの木馬では、標的デバイスを完全に消去しかねない機能が最近追加される。問題のマルウェア「Brata」は、不正な電信送金を実行した後、スマートフォンを工場出荷時の状態にリセットする可能性があります。
- カナダ外務省のネットワークがサイバー攻撃で狙われ、一部のサービスが停止する。ただし同省は、重大な影響はなかったと述べています。ロシア政府が支援する攻撃の可能性について、最近カナダの政府高官が警告したばかりでした。
- サイバー攻撃により、北朝鮮全土で約 6 時間にわたってインターネット通信が遮断される。原因は分散型サービス拒否攻撃だと考えられており、同国ではここ数週間で 2 度目のことになります。
- 米国サイバーセキュリティ・インフラセキュリティ庁、全ユーザーが緊急でパッチを適用すべきバグのリストに 17 件の脆弱性を追加。このリストには、攻撃者によって活発に狙われている一方で、多くのネットワークではパッチが適用されていない脆弱性が記載されています。
- 人気のビデオゲーム「ダークソウル 3」では、標的のマシンが攻撃者により完全に乗っ取られかねない Web サーバーの脆弱性が発見される。ゲームを運営する From Software 社は問題を修正するため、Dark Souls 3 を含む一部のオンラインサービスを一時的にシャットダウンしました。
最近の注目すべきセキュリティ問題
ランサムウェアに偽装したワイパーマルウェアがウクライナのユーザーや政府機関を狙う
ロシアとウクライナの国境で軍事的緊張が高まる中、ウクライナ政府の Web サイトを狙ったサイバー攻撃(Web サイトの書き換えや甚大な被害をもたらすワイパーマルウェアなど)がここ数週間大きく報道されています。Cisco Talos の調査では、WhisperGate の手口と、2017 年にウクライナの企業を襲った悪名高い NotPetya ワイパーとの間で複数の類似点が見つかりました。具体的には、ランサムウェアに偽装している点や、マスターブートレコード(MBR)を標的にする点、MBR を暗号化するのではなく破壊する点などです。ただし損害を加えることを目的としたコンポーネントは、WhisperGate により多く含まれています。複数のステージに分かれた感染チェーンにより、まず MBR をワイプ(消去)するペイロードをダウンロードし、次に Discord サーバーでホストされている悪意のある DLL ファイルをダウンロードします。この DLL が、感染したマシン上のファイルを破壊する別のワイパーペイロードをドロップして実行します。
ブロックリストへの IOC ハッシュ:
- a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
- dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
- 923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6
- 9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d
メモリから機密データが漏洩する危険性がある Apple iOS、iPad OS、MacOS の脆弱性
Cisco Talos はこのほど、Apple 社の macOS および iOS オペレーティングシステムに境界外読み取りの脆弱性を発見しました。この脆弱性により、メモリの機密コンテンツが漏洩する危険性があります。攻撃者は漏洩した情報を利用して他の脆弱性をエクスプロイトする可能性があります。この脆弱性は、デスクトップおよびモバイル オペレーティング システムで使用されている Apple 社の ImageIO ライブラリの DDS イメージ解析機能に存在します。この脆弱性は、細工された悪意のあるファイルを攻撃者が標的に開かせることでトリガーされます。この脆弱性がエクスプロイトされると、標的のヒープアドレスなどの情報が漏洩する危険性があります。攻撃者が脆弱なアプリケーションのコンテキストで漏洩データにアクセスできる場合は、さらなるエクスプロイトを実行するために漏洩した情報を悪用する危険性があります。
Snort SID:58565 および 58566
今週最も多く見られたマルウェアファイル
SHA 256:1b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37
MD5:a5e345518e6817f72c9b409915741689
一般的なファイル名:swupdater.exe
偽装名:Wavesor SWUpdater
検出名:W32.1B259D8CA9.Wavesor.SSO.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5: 8193b63313019b614d5be721c538486b
一般的なファイル名: SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:2bd102ddc0e618d91a7adc3f3fb92fcfb258680f11b904bb129f5f2f918dcc5f
MD5:eb2f5e1b8f818cf6a7dafe78aea62c93
一般的なファイル名: vsb2nasl7.dll
偽装名:なし
検出名:W32.A4DE11B029.Wavesor.SSO.Talos
SHA 256:8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2
MD5:fe3659119e683e1aa07b2346c1f215af
一般的なファイル名:SqlServerWorks.Runner.exe
偽装名:SqlServerWorks.Runner
検出名:W32.8639FD3EF8-95.SBX.TG
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2022 年 01 月 27 日に Talos Group のブログに投稿された「Threat Source Newsletter (Jan. 27, 2022)」の抄訳です。