Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2022 年 1 月 27 日)


2022年2月9日

Talos 読者の皆様、こんにちは。

新年は気分を一新したいところですが、2021 年の失敗から学ぶことも大切です。Log4j に脆弱性が見つかったからといって、ロギングを停止したり、オープンソースソフトウェアの使用を停止したりする必要はありません。

『Beers with Talos(Talos とビールを)』popup_icon の最新エピソードが今朝公開されました。今回は SolarWinds から Log4j まで、昨年の主要なサイバー攻撃について取りあげています。それと併せて、最新の Talos インシデントレスポンス脅威評価レポートもご覧ください。インシデントに現場で対応してきた IR チームが、昨年の傾向を細かく解説しています。

今週は、iOS と macOS に影響する複数の注目すべき脆弱性や、人気のある Wi-Fi 対応カメラで見つかった一連の脆弱性も公開しました。後者の脆弱性では、メモリーカードを再フォーマットして完全に消去される危険性があります。

1 週間のサイバーセキュリティ概況

  • 攻撃者が root 権限でリモートコードを実行できる、2 件の重大な脆弱性が Linux サーバーで発見されるpopup_icon。問題の原因になっているのは Control Web Panel(CWP)です。これは世界中の何十万ものサーバーで使用されている、一般的な Web ホスティング管理ソフトウェアです。
  • Apple 社、iOS 15 と WatchOS 8 の新バージョンを含めた製品全体で多数のセキュリティアップデートをリリースpopup_icon。同社が開示した脆弱性の 1 件では、ユーザーの iCloud ファイルが攻撃者によってアクセスされる可能性があります。
  • 米国がウクライナでの物理的な戦争に反対した場合、ロシア政府が支援する攻撃者によって重要なインフラがサイバー攻撃を受ける危険性popup_iconがあるとして、米国国土安全保障省が米国市民に警告。ロシア軍は現在、ウクライナ国境近くに集結しており、軍事的な緊張を高めています。
  • 米国の電力網に対する大規模なサイバー攻撃が懸念されるなか、各防衛機関は緊急訓練の頻度を増加させるpopup_icon。これに伴い、大規模な攻撃を想定した具体的な準備も進んでいます。
  • Android スマートフォンを狙った、感染件数の多いバンキング型トロイの木馬では、標的デバイスを完全に消去しかねない機能popup_iconが最近追加される。問題のマルウェア「Brata」は、不正な電信送金を実行した後、スマートフォンを工場出荷時の状態にリセットする可能性があります。
  • カナダ外務省のネットワークがサイバー攻撃で狙われpopup_icon、一部のサービスが停止する。ただし同省は、重大な影響はなかったと述べています。ロシア政府が支援する攻撃の可能性について、最近カナダの政府高官が警告したばかりでした。
  • サイバー攻撃により、北朝鮮全土で約 6 時間にわたってインターネット通信が遮断されるpopup_icon。原因は分散型サービス拒否攻撃だと考えられており、同国ではここ数週間で 2 度目のことになります。
  • 米国サイバーセキュリティ・インフラセキュリティ庁、全ユーザーが緊急でパッチを適用すべきバグのリストに 17 件の脆弱性を追加popup_icon。このリストには、攻撃者によって活発に狙われている一方で、多くのネットワークではパッチが適用されていない脆弱性が記載されています。
  • 人気のビデオゲーム「ダークソウル 3」では、標的のマシンが攻撃者により完全に乗っ取られかねない Web サーバーの脆弱性が発見される。ゲームを運営する From Software 社は問題を修正するため、Dark Souls 3 を含む一部のオンラインサービスを一時的にシャットダウンしました。

最近の注目すべきセキュリティ問題

ランサムウェアに偽装したワイパーマルウェアがウクライナのユーザーや政府機関を狙うpopup_icon

ロシアとウクライナの国境で軍事的緊張が高まる中、ウクライナ政府の Web サイトを狙ったサイバー攻撃(Web サイトの書き換えや甚大な被害をもたらすワイパーマルウェアなど)がここ数週間大きく報道されています。Cisco Talos の調査では、WhisperGate の手口と、2017 年にウクライナの企業を襲った悪名高い NotPetya ワイパーとの間で複数の類似点が見つかりました。具体的には、ランサムウェアに偽装している点や、マスターブートレコード(MBR)を標的にする点、MBR を暗号化するのではなく破壊する点などです。ただし損害を加えることを目的としたコンポーネントは、WhisperGate により多く含まれています。複数のステージに分かれた感染チェーンにより、まず MBR をワイプ(消去)するペイロードをダウンロードし、次に Discord サーバーでホストされている悪意のある DLL ファイルをダウンロードします。この DLL が、感染したマシン上のファイルを破壊する別のワイパーペイロードをドロップして実行します。

ブロックリストへの IOC ハッシュ:

  • a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92
  • dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78
  • 923eb77b3c9e11d6c56052318c119c1a22d11ab71675e6b95d05eeb73d1accd6
  • 9ef7dbd3da51332a78eff19146d21c82957821e464e8133e9594a07d716d892d

メモリから機密データが漏洩する危険性がある Apple iOS、iPad OS、MacOS の脆弱性

Cisco Talos はこのほど、Apple 社の macOS および iOS オペレーティングシステムに境界外読み取りの脆弱性を発見しました。この脆弱性により、メモリの機密コンテンツが漏洩する危険性があります。攻撃者は漏洩した情報を利用して他の脆弱性をエクスプロイトする可能性があります。この脆弱性は、デスクトップおよびモバイル オペレーティング システムで使用されている Apple 社の ImageIO ライブラリの DDS イメージ解析機能に存在します。この脆弱性は、細工された悪意のあるファイルを攻撃者が標的に開かせることでトリガーされます。この脆弱性がエクスプロイトされると、標的のヒープアドレスなどの情報が漏洩する危険性があります。攻撃者が脆弱なアプリケーションのコンテキストで漏洩データにアクセスできる場合は、さらなるエクスプロイトを実行するために漏洩した情報を悪用する危険性があります。

Snort SID58565 および 58566

今週最も多く見られたマルウェアファイル

SHA 2561b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37popup_icon

MD5a5e345518e6817f72c9b409915741689

一般的なファイル名:swupdater.exe

偽装名:Wavesor SWUpdater

検出名:W32.1B259D8CA9.Wavesor.SSO.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD5 8193b63313019b614d5be721c538486b

一般的なファイル名: SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2562bd102ddc0e618d91a7adc3f3fb92fcfb258680f11b904bb129f5f2f918dcc5fpopup_icon

MD5eb2f5e1b8f818cf6a7dafe78aea62c93

一般的なファイル名: vsb2nasl7.dll

偽装名:なし

検出名:W32.A4DE11B029.Wavesor.SSO.Talos

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2popup_icon

MD5fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlServerWorks.Runner.exe

偽装名:SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAV popup_iconの独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2022 年 01 月 27 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (Jan. 27, 2022)popup_icon」の抄訳です。

 

Tags:
コメントを書く