Cisco Japan Blog

脅威情報ニュースレター(2022 年 6 月 2 日):RSA カンファレンスのご案内

1 min read



今週も脅威情報ニュースレターをお届けします。

読者の皆様の中には、サンフランシスコで来週開催される RSApopup_icon と、ラスベガスで再来週に開催される Cisco Live を心待ちにしている方も大勢いらっしゃるかと思いますので、耳寄りな情報をお届けします。 

Talos は両方のカンファレンスでさまざまな企画を提供する予定です。Cisco Secure ブースでの簡単なプレゼンテーション、いくつかのテーマトークやスポット、ポッドキャストのライブレコーディングなど、盛り沢山の内容となっています。RSA に参加される皆様のために、このカンファレンスで Talos が提供する企画の中からいくつか厳選してご紹介します。

なお、Talos の Twitter では今年も最新の予定やトークスケジュールを随時お知らせしますので、ぜひフォローしてください。

メインブース

Moscone North ホールに Talos と Cisco Secure のメインブースがありますのでお気軽にお立ち寄りください。ご質問も承ります。ぜひ最新情報をチェックしてみてください。

ブースでは新しいビデオシリーズを初公開します。人気のマルウェア「マスコット」が描かれた最新のステッカーも配布します。ラップトップに貼れば、周囲の羨望を集めること間違いなしです。

攻撃者の動向を見極めた防御態勢の進化

6 月 7 日午前 9 時 40 分(太平洋時間)から Nick Biasini と Pierre Cadieux がスポンサーセッションを開催します。このトークセッションでは、攻撃者の最新の戦術、手法、手順を詳しく分析して、対策が必要なものとそうでないものを解説します。

Beers with Talos/Security Stories

6 月 7 日午後 2 時から午後 5 時(太平洋時間)まで、Marriott Marquis の Sierra C 大宴会場でポッドキャストのライブを 2 回連続でお届けします。このライブでは『Security Stories』と『Beers with Talos』が合同で「Would I Lie to You?」のクイズゲームに挑戦します。

Talos の統括責任者である Matt Watchinski が両方のエピソードに登場するなど、さまざまなスペシャルゲストをお招きしています。

『Beers with Talos』のエピソードでは、ウクライナにおける Talos の取り組みについて語ります。また聴衆の皆様に今関心があるセキュリティの話題についてお聞きします。

重要な情報

ここ数日、Microsoft Windows サポート診断ツール(MSDT)で最近発見されたゼロデイ脆弱性がニュースで大きく取り上げられました。「Follina」とも呼ばれる CVE-2022-30190 は、URL プロトコルを使用して MSDT を呼び出す機能に存在する脆弱性です。Microsoft Office や Microsoft Word などのアプリケーションから、あるいは RTF ファイルを介して悪用されます。この脆弱性を突いて、標的マシンで任意のコードが実行される恐れがあります。

注意すべき理由

攻撃者が脆弱性のエクスプロイトに成功すると、標的のマシンでリモートコードが実行される危険性があります。これは言うまでもなく重大な事態です。Microsoft の脆弱性がニュースで大きく取り上げられる状況が過去 12 か月にわたって続いており、今回の脆弱性以外にも PrintNightmare複数の Exchange Server の問題などが発見されています。攻撃者は脆弱な Microsoft 製品を積極的に探して標的のネットワークやマシンに足掛かりを築こうしていますので、警戒を怠らないようにする必要があります。

必要な対策

パッチはまだリリースされていませんが、Microsoft 社は、この CVE および脆弱性を悪用するマルウェアに対する回避策popup_iconと Windows Defender 保護を提供しています。Cisco Talos も、複数の Snort ルールや ClamAV シグネチャなど、この脆弱性から保護するためのカバレッジをリリースしています。

その他の注目情報

コスタリカの政府機関がまたランサムウェア攻撃を受けました。今回の攻撃は Hive グループの仕業でした。コスタリカは Conti によるランサムウェア攻撃を 5 月に受けていましたが、今週初めに同国の保健機関のオンラインサービスが Hive の攻撃を受けて停止したことで、問題はさらに深刻になっています。セキュリティ専門家は、Conti と Hive が連携してコスタリカの政府機関を脅迫している可能性を示す証拠を見つけたと述べています。その一方で、Conti グループは解散を宣言しており、現在いくつかのグループに分かれています。Hive の攻撃実行犯はまだ身代金の額を伝えていません(情報源:Bleeping Computerpopup_iconKrebs on Securitypopup_iconCSO Onlinepopup_icon)。

米国司法省が、窃取および漏洩された個人情報の販売や収集に関連していた 3 つのドメインを押収しました。WeLeakInfo、IPStress、OVH Booster の 3 つのサイトは攻撃者がサービス妨害攻撃を仕掛けるのを支援していたと当局は述べています。米国司法省は 2020 年にもよく似たドメインを複数押収しています。当時、そのうちの 1 つである「weleakinfo.com」では「1 万件を超すデータ侵害によって違法に取得された個人情報を閲覧および取得する」機能をユーザーに提供していました(情報源:Recorded Futurepopup_icon米国司法省popup_icon)。

FBI が最近、ボストンの小児病院に対するサイバー攻撃の試みを阻止したと同局長官の Chris Wray 氏が述べました。ボストンでのイベントで講演した同氏は、昨年の夏に情報を事前に入手していたおかげで、「これまで見てきた中で最も卑劣なサイバー攻撃の 1 つ」を FBI が阻止できたとし、この攻撃はイラン政府の支援を受けた攻撃者によるものだったと付け加えています。Wray 氏によると、同病院は 2014 年と 2019 年にも同様の攻撃を受けたとのことです(情報源:ABC Newspopup_iconNBC 10 Bostonpopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

RECONpopup_icon(2022 年 6 月 3 日~ 5 日)
カナダ、モントリオール

RSA 2022popup_icon(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ

CISCO LIVE U.S.popup_icon (2022 年 6 月 12 日~ 16 日)
ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645popup_icon
MD52c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02

SHA 2564b34e3637fa7af93ab628ae5adad2c7f3464053316963297844324a4f649a206popup_icon
MD53632f27604f5a82cf73b9ade710a1656
一般的なファイル名:mediaget_installer_467.exe
偽装名:なし
検出名:FileRepPup:MediaGet-tpd

SHA 256a9f7d7525aad1c7007ae9d1d3fc531a1065b28225c5b7efb7347aaf77d9aba92popup_icon
MD5 8f90e544a48d75f42f9d44811320689c 
一般的なファイル名:tata communications wholesale retai lpak ncl ethopia napal spice srilanka bd cli bangladesh.wsf
偽装名:なし
検出名:Xml.Dropper.Valyria::100.sbx.vioc

SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3 
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

本稿は 2022 年 06 月 02 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (June 2, 2022) — An RSA Conference primerpopup_icon」の抄訳です。

 

コメントを書く