Cisco Japan Blog
Share

脅威情報ニュースレター(2022 年 8 月 4 日):BlackHat 2022 プレビュー


2022年8月18日


今週も脅威情報ニュースレターをお届けします。

Talos が今年の BlackHat の会場に戻ってまいります。前回ブースを出展したのが遠い昔の出来事のようです。本当に長い時間だったように感じます。皆様とまたお会いして近況報告、歓談、情報交換、セキュリティ全般の話題に花を咲かせられるのが楽しみです。

メインカンファレンスが開催される 2 日間、さまざまなプレゼンテーションを Cisco Secure ブースで行うほか、Talos 主催の講演も予定しています。これは BlackHat が始まる前の最後のニュースレターですので、この「ハッカーサマーキャンプ」で Talos がお届けする素晴らしい内容をご紹介しておこうと思います。

Talos のブースは簡単に見つかると思いますpopup_icon。Bayside B のメインエントランスのすぐ近くにあります。Trellix Lounge に着いてしまったら北に行きすぎです。ブースでは Talos の研究者が皆様のご質問に何でもお答えします。また Adobe 社の脆弱性に関する調査や、人工妊娠中絶を憲法上の権利と認める「ロー対ウェイド判決」が覆されたことのプライバシーへの影響といったさまざまなセキュリティトピックに関するプレゼンテーションも予定しています。プレゼンテーションをご覧いただいた方には、今回初めてお披露目する Snort 3popup_icon をあしらった Snorty ステッカーと、今年の Cisco Live で大好評を博したpopup_iconマルウェアマスコットのステッカーをお配りいたします。

またキャリアセンターの方でも、Talos で働いてくれるpopup_icon人材をお待ちしています。金と銀の Snorty がいるという噂もありますので、採用には興味がない方もぜひ覗いてみてください。11 日(木曜日)の午前 10 時から 12 時まで、Talos の採用担当マネージャがキャリアセンターにて履歴書を拝見し、ご質問にお答えします。

より詳しい話をお聞きになりたい方は、10 日から 11 日にかけて 5 つのセッションを主催しますので、ぜひご参加ください。これらの講演の最新スケジュールや場所を知りたい方は、Talos の Twitter をフォローするpopup_iconか、こちらpopup_iconのシスコの BlackHat イベントページをチェックしてください。Talos 主催の講演では、ウクライナにおける Talos の最新の取り組み、ビジネスメール詐欺の増加、国家の支援を受けた攻撃者の最新動向などをご紹介します。どうぞお見逃しなく。

また Cisco Live で明かされた秘密を気に入った方なら、BlackHat のブースに用意されている次の秘密もきっとお気に召すはずです。ぜひ立ち寄ってお尋ねください。

DEF CON に参加される方は、Blue Team Village にも Talos が出演しますのでご覧ください。Blue Team Village の Discordpopup_icon にご質問をお寄せいただき、8 月 12 日午後 8 時から午後 11 時(現地時間)の BTV Pool Party にご参加ください。

Talos のソーシャルメディアではこの 2 つのカンファレンスに関する Talos の最新情報をお届けしていますので、ぜひフォローしてください。  –

重要な情報

Cisco Talos はこのほど、「Manjusaka」という新しい攻撃フレームワークが実際に使用されていることを確認しました。このフレームワークは Cobalt Strike の次の進化形である可能性があり、実際に Cobalt Strike に倣ったものだと言われています。Manjusaka が実際に広く展開されているのはまだ確認していませんが、世界中の攻撃者に採用される可能性があります。

注意すべき理由

Talos の研究者が確認したところによると、コマンドアンドコントロール(C2)は GoLang で記述されており、簡体字中国語のユーザーインターフェイスを備えています。十分に機能するバージョンの C2 を無料で入手でき、カスタム構成の新しいインプラントを簡単に生成できます。そのため、攻撃者の間でこのフレームワークの使用が広まる可能性が高くなっています。セキュリティ担当者は、攻撃者が使用する可能性がある最新のツールを常に把握しておく必要があります。Cobalt Strike は最も広く使用されているツールの 1 つなので、Cobalt Strike の進化形が出現すれば注目が集まると考えてよいでしょう。

必要な対策

簡単に入手できて、さまざまな攻撃者が悪用する可能性のあるこうしたツールやフレームワークに対し、警戒を怠らないようにする必要があります。リスク分析アプローチに基づいた多層防御戦略にはこのフレームワークに対する最高の予防効果があります。また Talos では、Manjusaka の使用を検出できる Snort ルール 60275 と ClamAV シグネチャ Win.Trojan.Manjusaka-9956281-1 もリリースしています。

その他の注目情報

ナンシー・ペロシ米国下院議長が今週台湾を訪問しましたが、その後、コンビニエンスストアから政府機関の Web サイトに至る台湾のあらゆる組織でサイバー攻撃が増加しました。米国の最高位の政府高官が前回訪台したのは 20 年以上前のことです。攻撃が増加したとはいっても、その多くはスキルの低い攻撃者によるものであったと思われます。中には、報道量が増えたことによる通常のトラフィック増加と思われるケースもありました。中国政府はペロシ氏の行動に不満を表明して軍事演習を実施しており、訪台への報復として台湾や米国にサイバー攻撃を仕掛ける可能性があります(情報源:Reuterspopup_iconWashington Postpopup_icon)。

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が、先週公開された Atlassian Confluence の重大な脆弱性を攻撃者が積極的にエクスプロイトしていると注意喚起しています。CVE-2022-26138 は、Questions for Confluence アプリで発見された脆弱性(ハードコーディングされたパスワードの使用)で、CISA が金曜日に、エクスプロイトされた既知の脆弱性のリストに追加しました。この脆弱性がエクスプロイトされると、オンプレミスの Confluence Server および Confluence Data Center プラットフォームに存在するすべてのデータにアクセスされる危険性があります。米国の連邦政府機関は、CISA の新しいガイダンスに従って、3 週間以内にこの問題に対するパッチを適用する必要があります(情報源:Dark Readingpopup_iconBleeping Computerpopup_icon)。

北朝鮮政府の支援を受けた攻撃者が引き続き活動しており、最近、新しい Gmail 攻撃が攻撃手段に加わりました。悪名高い SharpTongue グループが SHARPEXT マルウェアを使用して、米国、ヨーロッパ、韓国の組織を標的にしています。攻撃を受けている組織は、北朝鮮の安全保障に関わると同国が見なしている核兵器などのトピックを扱っています。SHARPEXT に感染すると Google Chrome 拡張機能がインストールされます。これによって Gmail の多要素認証とパスワードがバイパスされ、最終的に受信トレイに侵入されて、電子メールや添付ファイルが閲覧されたりダウンロードされたりする危険性があります。北朝鮮の他の攻撃者はリモートの求人に応募する LinkedIn の偽アプリケーションを引き続き使用しており、最終的に暗号通貨を窃取して、同国の兵器計画に資金を供給することを狙っています(情報源:Ars Technicapopup_iconBloombergpopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

BlackHat popup_iconU.S.A 20222022 8 6 日~ 11 日)
ネバダ州ラスベガス

USENIX Security ’22popup_icon2022 8 10 日~ 12 日)
ネバダ州ラスベガス

DEF CON U.S. popup_icon2022 8 11 日~ 14 日)
ネバダ州ラスベガス

Security Insights 101 ナレッジシリーズ popup_icon2022 8 25 日)

オンライン

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD5 93fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645popup_icon    

MD52c8ea737a232fd03ab80db672d50a17a

一般的なファイル名: LwssPlayer.scr

偽装名:梦想之巅幻灯播放器

検出名:Auto.125E12.241442.in02

SHA 256f21b040f7c47d8d3d9c1f0ef00f09e69f2c3f0e19d91988efc0ddd4833ced121popup_icon

MD5 9066dff68c1d66a6d5f9f2904359876c

一般的なファイル名: dota-15_id3622928ids1s.exe

偽装名:なし

検出名: W32.F21B040F7C.in12.Talos

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636cpopup_icon

MD5 a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名:AAct.exe     

偽装名:なし

検出名:PUA.Win.Tool.Kmsauto::1201  

SHA 256168e625c7eb51720f5ce1922aec6ad316b3aaca838bd864ee2bcdbd9b66171d0popup_icon

MD5311d64e4892f75019ee257b8377c723e

一般的なファイル名:ultrasurf-21-32.exe  

偽装名:なし

検出名:W32.DFC.MalParent

 

本稿は 2022 年 08 月 04 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Aug. 4, 2022) — BlackHat 2022 previewpopup_icon」の抄訳です。

 

Tags:
コメントを書く