今週も脅威情報ニュースレターをお届けします。
読者の皆様の中には、サンフランシスコで来週開催される RSA と、ラスベガスで再来週に開催される Cisco Live を心待ちにしている方も大勢いらっしゃるかと思いますので、耳寄りな情報をお届けします。
Talos は両方のカンファレンスでさまざまな企画を提供する予定です。Cisco Secure ブースでの簡単なプレゼンテーション、いくつかのテーマトークやスポット、ポッドキャストのライブレコーディングなど、盛り沢山の内容となっています。RSA に参加される皆様のために、このカンファレンスで Talos が提供する企画の中からいくつか厳選してご紹介します。
なお、Talos の Twitter では今年も最新の予定やトークスケジュールを随時お知らせしますので、ぜひフォローしてください。
メインブース
Moscone North ホールに Talos と Cisco Secure のメインブースがありますのでお気軽にお立ち寄りください。ご質問も承ります。ぜひ最新情報をチェックしてみてください。
ブースでは新しいビデオシリーズを初公開します。人気のマルウェア「マスコット」が描かれた最新のステッカーも配布します。ラップトップに貼れば、周囲の羨望を集めること間違いなしです。
攻撃者の動向を見極めた防御態勢の進化
6 月 7 日午前 9 時 40 分(太平洋時間)から Nick Biasini と Pierre Cadieux がスポンサーセッションを開催します。このトークセッションでは、攻撃者の最新の戦術、手法、手順を詳しく分析して、対策が必要なものとそうでないものを解説します。
Beers with Talos/Security Stories
6 月 7 日午後 2 時から午後 5 時(太平洋時間)まで、Marriott Marquis の Sierra C 大宴会場でポッドキャストのライブを 2 回連続でお届けします。このライブでは『Security Stories』と『Beers with Talos』が合同で「Would I Lie to You?」のクイズゲームに挑戦します。
Talos の統括責任者である Matt Watchinski が両方のエピソードに登場するなど、さまざまなスペシャルゲストをお招きしています。
『Beers with Talos』のエピソードでは、ウクライナにおける Talos の取り組みについて語ります。また聴衆の皆様に今関心があるセキュリティの話題についてお聞きします。
重要な情報
ここ数日、Microsoft Windows サポート診断ツール(MSDT)で最近発見されたゼロデイ脆弱性がニュースで大きく取り上げられました。「Follina」とも呼ばれる CVE-2022-30190 は、URL プロトコルを使用して MSDT を呼び出す機能に存在する脆弱性です。Microsoft Office や Microsoft Word などのアプリケーションから、あるいは RTF ファイルを介して悪用されます。この脆弱性を突いて、標的マシンで任意のコードが実行される恐れがあります。
注意すべき理由
攻撃者が脆弱性のエクスプロイトに成功すると、標的のマシンでリモートコードが実行される危険性があります。これは言うまでもなく重大な事態です。Microsoft の脆弱性がニュースで大きく取り上げられる状況が過去 12 か月にわたって続いており、今回の脆弱性以外にも PrintNightmare や複数の Exchange Server の問題などが発見されています。攻撃者は脆弱な Microsoft 製品を積極的に探して標的のネットワークやマシンに足掛かりを築こうしていますので、警戒を怠らないようにする必要があります。
必要な対策
パッチはまだリリースされていませんが、Microsoft 社は、この CVE および脆弱性を悪用するマルウェアに対する回避策と Windows Defender 保護を提供しています。Cisco Talos も、複数の Snort ルールや ClamAV シグネチャなど、この脆弱性から保護するためのカバレッジをリリースしています。
その他の注目情報
コスタリカの政府機関がまたランサムウェア攻撃を受けました。今回の攻撃は Hive グループの仕業でした。コスタリカは Conti によるランサムウェア攻撃を 5 月に受けていましたが、今週初めに同国の保健機関のオンラインサービスが Hive の攻撃を受けて停止したことで、問題はさらに深刻になっています。セキュリティ専門家は、Conti と Hive が連携してコスタリカの政府機関を脅迫している可能性を示す証拠を見つけたと述べています。その一方で、Conti グループは解散を宣言しており、現在いくつかのグループに分かれています。Hive の攻撃実行犯はまだ身代金の額を伝えていません(情報源:Bleeping Computer、Krebs on Security、CSO Online)。
米国司法省が、窃取および漏洩された個人情報の販売や収集に関連していた 3 つのドメインを押収しました。WeLeakInfo、IPStress、OVH Booster の 3 つのサイトは攻撃者がサービス妨害攻撃を仕掛けるのを支援していたと当局は述べています。米国司法省は 2020 年にもよく似たドメインを複数押収しています。当時、そのうちの 1 つである「weleakinfo.com」では「1 万件を超すデータ侵害によって違法に取得された個人情報を閲覧および取得する」機能をユーザーに提供していました(情報源:Recorded Future、米国司法省)。
FBI が最近、ボストンの小児病院に対するサイバー攻撃の試みを阻止したと同局長官の Chris Wray 氏が述べました。ボストンでのイベントで講演した同氏は、昨年の夏に情報を事前に入手していたおかげで、「これまで見てきた中で最も卑劣なサイバー攻撃の 1 つ」を FBI が阻止できたとし、この攻撃はイラン政府の支援を受けた攻撃者によるものだったと付け加えています。Wray 氏によると、同病院は 2014 年と 2019 年にも同様の攻撃を受けたとのことです(情報源:ABC News、NBC 10 Boston)。
Talos が発信している情報
- 注目のセキュリティ研究者:Martin Lee(Talos 戦略的コミュニケーション、EMEAR リーダー)
- 5 月 20 日から 5 月 27 日の 1 週間における脅威のまとめ
- 『Talos Takes』エピソード#98:F5 BIG-IP の脆弱性のエクスプロイトの可能性は低いので冷静な対応を
Talos が参加予定のイベント
RECON(2022 年 6 月 3 日~ 5 日)
カナダ、モントリオール
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:4b34e3637fa7af93ab628ae5adad2c7f3464053316963297844324a4f649a206
MD5:3632f27604f5a82cf73b9ade710a1656
一般的なファイル名:mediaget_installer_467.exe
偽装名:なし
検出名:FileRepPup:MediaGet-tpd
SHA 256:a9f7d7525aad1c7007ae9d1d3fc531a1065b28225c5b7efb7347aaf77d9aba92
MD5: 8f90e544a48d75f42f9d44811320689c
一般的なファイル名:tata communications wholesale retai lpak ncl ethopia napal spice srilanka bd cli bangladesh.wsf
偽装名:なし
検出名:Xml.Dropper.Valyria::100.sbx.vioc
SHA 256:85B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
本稿は 2022 年 06 月 02 日に Talos Group のブログに投稿された「Threat Source newsletter (June 2, 2022) — An RSA Conference primer」の抄訳です。