今週も脅威情報ニュースレターをお届けします。
先週に続き、今週も別のカンファレンスが開催されます。現在、Cisco Live に参加するため、サンフランシスコから数マイル南東のラスベガスに向けて移動しているところです。RSA カンファレンスでは、安全かつ健康の心配もなく皆様に楽しんでもらえたと思っていますが、まだこれで終わりではありません。
今週の Cisco Live でも、トーク、交流会、ポッドキャストなど、盛りだくさんの内容で皆様のご来場をお待ちしています。素晴らしい企画(来てのお楽しみです!)を用意していますので、Cisco Secure ブースの中央までどうぞお立ち寄りください。Cisco Live での Talos のハイライトは他にもあるのでご紹介しておきます。
水曜日の Cisco Secure Pub では、私も初の講演を行う予定です。ぜひ足をお運びいただき、ニュースレターを楽しんでもらえているかお聞かせいただければ幸いです。
Cisco Secure Pub
特にお勧めしたいのは展示会場の Cisco Secure Pub です。午前中はコーヒーを、午後はアルコール飲料を提供します。ブースでは毎日、簡単なプレゼンテーションを行います。ウクライナでの Talos の取り組み、産業用制御システムの保護、Log4j の振り返りなど、トピックはさまざまです。
また、せっかくの機会ですし、自分の講演についてもご紹介しておきたいと思います。特にロシアのウクライナ侵攻に関連することでもあるので、ソーシャルメディア時代における偽情報とプロパガンダ活動についてお話しする予定です。水曜日の午後 2 時 30 分(現地時間)開始となっています。
Talos インサイト:サイバーセキュリティの現状
毎年行っている脅威の状況の概観です。今年はアウトリーチチームの Nick Biasini が担当します。15 日に予定しているこの講演では、Talos が過去 12 か月間に明らかにした脅威と傾向についてお話しします。どのような脅威なのか、技術的な詳細情報も提供します。講演会場の詳細については、Cisco Live セッションカタログをご覧ください。
インタラクティブセッション
カンファレンス期間中、Talos と Talos インシデント対応チームはインタラクティブセッションを複数回開催します。Talos の研究者と直接顔を合わせてやり取りできる機会となりますのでぜひご出席ください。Cisco Secure 製品を実際に操作していただくことも可能です。
セッションカタログをフィルタしたものをこちらにご用意しました。期間中に行われるセキュリティ関連のすべてのインタラクティブセッションを簡単にご確認いただけます。
重要な情報
Atlassian Confluence Data Center および Server のゼロデイ脆弱性のエクスプロイトが多発し、標的のマシンでリモートコードが実行されています。攻撃では複数のペイロード(インメモリ BEHINDER インプラントや、China Chopper などの Webshell)が配信されています。報じられた初期の攻撃に加え、現在もこの脆弱性を悪用したエクスプロイトを研究者らが確認しています。すでに概念実証(PoC)が公開されているため、短期間でエクスプロイトが増加する可能性があります。
注意すべき理由
脆弱性がエクスプロイトされると、標的のホストが完全に乗っ取られ、標的マシンでリモートコードが実行される危険性があります。なお、この脆弱性に対するパッチは公開されていますが、多くのインスタンスでパッチが適用されないままになっており、出回っているエクスプロイトコードが攻撃に使用されているという報道が止むことはありません。これは極めてよくない状況です。この脆弱性は比較的簡単にエクスプロイトでき、脆弱性がスキャンされていることも分かっています。また、攻撃者はこの脆弱性をエクスプロイトして、China Chopper という息の長いマルウェアを拡散しています。標的のマシンでバックドアとして機能するマルウェアであり、基本的には攻撃者がアクセスを維持するための代替策となります。
必要な対策
脆弱性を緩和する一連のパッチを Atlassian 社がリリースしています。進行中の攻撃を軽減するために、今すぐパッチをテストして適用するようにしてください。パッチがリリースされているバージョンは、7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4、7.18.1 です。何らかの理由でパッチを適用できない場合は、リスク軽減に役立つ一連の手順が同社サイトで公開されていますので実行するようにしてください。Talos も、この脆弱性のエクスプロイト試行を検出する Snort ルールをリリースしました。
その他の注目情報
Microsoft サポート診断ツール(MSDT)で発見された Follina という脆弱性が依然としてエクスプロイトされており、Qbot、AsyncRAT などのマルウェアファミリが配信されています。これらのマルウェアファミリは長年使用されてきており、特定の攻撃者に紐づけられているわけではありません。Qbot の配信に成功すると、標的のマシンから機密情報を盗み出すことができます。公式のパッチはまだ公開されていませんが、Microsoft 社はユーザーが MSDT を無効にするための回避策をいくつか提供しています。影響を受けることが判明しているのは、Office Pro Plus、Office 2013、Office 2016、Office 2019、Office 2021 です(情報源:SecurityWeek、Security Boulevard)。
マサチューセッツ州に本拠を置く大規模なヘルスケア企業で発生したデータ漏洩により、200 万人が影響を受ける可能性があります。管理および画像サービスを提供する Shields Health Care 社は、3 月 28 日にネットワーク上で「不審な動きに気付いた」と発表し、速やかにインシデントの調査を開始しました。流出した情報がなりすまし犯罪や詐欺に使用されたという証拠はまだ見つかっていません。住所、社会保障番号、請求情報、保険情報、その他の医療情報などが悪用される危険性があります(情報源:NBC 10 Boston、ABC News)。
「Symbiote」という新たな形態の Linux マルウェアの検出は「ほぼ不可能」であることが、新しい調査により判明しました。Linux マルウェアは通常、マシン上で実行されているプロセスを侵害しようとします。一方 Symbiote は、LD_PRELOAD を介することで、実行中のすべてのプロセスにロードされる共有オブジェクトライブラリとして機能します。寄生性のこのライブラリは、自身をシステムに組み込むことによって標的のマシンに侵入を果たし、最終的には攻撃者にルートキット機能を提供します(情報源:ZDNet、CSO Online)。
Talos が発信している情報
- 注目のセキュリティ研究者:Martin Lee(Talos 戦略的コミュニケーション、EMEAR リーダー)
- EMEA 向け月例 Talos Threat Update:ビジネスメール詐欺
- 5 月 27 日 ~ 6 月 3 日の 1 週間における脅威のまとめ
Talos が参加予定のイベント
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス
BlackHat U.S. (2022 年 8 月 6 日~ 11 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:b2ef49a10d07df6db483e86516d2dfaaaa2f30f4a93dd152fa85f09f891cd049
MD5:: 067f9a24d630670f543d95a98cc199df
一般的なファイル名:RzxDivert32.sys
偽装名:WinDivert 1.4 driver
検出名:W32.B2EF49A10D-95.SBX.TG
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5:8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201
本稿は 2022 年 06 月 09 日に Talos Group のブログに投稿された「Threat Source newsletter (June 9, 2022) — Get ready for Cisco Live」の抄訳です。