脅威情報ニュースレター(2022 年 8 月 25 日):ウクライナ問題はまだ終わっていない
今週も脅威情報ニュースレターをお届けします。
ウクライナとロシアの物理的な衝突は今も連日続いていて、簡単には収束しそうもありません。サイバー攻撃も引き続き盛んに展開されると見られています。
昨日のライブ配信
でお話ししたように、Talos は、最新の GoMet バックドアなど、ウクライナにおけるサイバーセキュリティの脅威の進化を目にし続けています。また Joe Marshall が先週のブログ投稿で説明しているように、ウクライナの農産業は世界の食料サプライチェーンに不可欠ですが、物理攻撃にもサイバー攻撃にも脆弱な状態にあります。ロシアの侵略が始まって以来、ウクライナを標的とした大規模なサイバー攻撃は一度も起きていません。そのため、一般の人たちの間では「状況はそれほど悪くない」という見方が広がっています。ですが、国家の支援を受けた攻撃者は、ウクライナの政府機関や重要インフラを集中的に狙ってさまざまな攻撃を展開し続けているのです。具体的には、悪名高い Fancy Bear や Sandworm などの攻撃者グループの活動が確認されています。
先週も、ウクライナの国営原子力発電会社が、自社の Web サイトに対して国家の支援を受けた攻撃者が 3 時間にわたり攻撃を仕掛けてきたと発表しました。
毎晩のニュースのヘッドラインで 3 時間におよぶ分散型サービス妨害攻撃が取り上げられることはありません。ですが、だからといって発生していないわけではないのです。そうした攻撃が原因で、ウクライナ政府と重要インフラの運営は厳しさを増しています。侵攻から 6 か月が経過した現在でも、ウクライナには毎日サイバー脅威を回避する必要がある人たちがいます。インターネットに接続し続ける、あるいはその週の穀物の出荷が予定通りに行われるようにするだけであっても、サイバー脅威に警戒しなければならないのです。
ニュースのヘッドラインは次々と取り上げられては消えていくため、私たちは新しいものに気を取られてしまいがちです。ただ、Android ストアで見つかった最新のトロイの木馬が話題になっていても、その裏ではそれよりも重大な出来事が常にいくつも進行しているのだということを忘れないことが大切です。
重要な情報
デバイスをまだ更新していない Apple ユーザーは、必ず更新するようにしてください。Apple 社は先週、iOS、iPadOS、macOS のセキュリティアップデートをリリースし、実際にエクスプロイトされた可能性のある 2 件の脆弱性について警告を発しました。CVE-2022-32894 は、オペレーティングシステムのカーネルにおける境界外書き込みの脆弱性です。攻撃者がこの脆弱性をエクスプロイトし、カーネル権限で任意のコードを実行してシステムを制御する可能性があります。CVE-2022-32893 は WebKit の境界外書き込みの脆弱性で、同様に任意のコード実行につながる可能性があります。
注意すべき理由
Apple 社は、これらの脆弱性をエクスプロイトする可能性のある攻撃の詳細を明らかにしていませんが、この脆弱性が「活発にエクスプロイトされている可能性がある」という報告があったと発表しています。同社によると、脆弱性は iPhone 6s 以降、iPad Pro のすべてのモデル、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch 第 7 世代に存在します。これらのデバイスを利用している方は、できるだけ早くパッチを適用する必要があります。
必要な対策
Apple デバイスを使用している場合は、とにかくパッチを適用するようにしてください。
今週のセキュリティ関連のトップニュース
LockBit ランサムウェアの Web サイトが、あるサイバーセキュリティ企業の文書を漏洩するという脅迫を行った後で、大規模な分散型サービス妨害(DDoS)攻撃を受けました。一時は同サイトに、標的企業から盗んだデータをピアツーピアネットワークにアップロードすることを計画しているという警告も表示されていました。この攻撃について最初に報じたのは、Talos の Azim Shukuhi です。LockBit のメンバーが、同サイトのサーバーが「1,000 台以上のサーバーから 1 秒あたり 400 件のリクエスト」を受信しており、「ハックバック」攻撃の可能性があると語ったとツイッターに投稿しました。DDoS 攻撃とは、サイトに大量のトラフィックやメッセージを送り込んで運用を妨害し、一定期間サイトを事実上の強制停止に追い込もうとするものです(情報源:The Register、TechCrunch)。
Twitter の元セキュリティ責任者 Peiter Zatko 氏(「Mudge」のハッカー名で知られる)が、Twitter によるボットやスパムアカウントの取り締まりが不十分だという苦情を米国証券取引委員会(SEC)に申し立てました。同氏は、歴史上最初期のハッキング集団「Cult of the Dead Cow」への関与で知られています。SEC への証言では、重要なユーザーデータにアクセスできる Twitter 社従業員が多すぎること、また、ユーザーデータの削除の要請があっても実際には削除していなかったことについても述べています。Twitter 上のボットアカウントの数は、Elon Musk 氏による同社の買収が失敗に終わった主な原因です(情報源:CNN、The Verge)。
FBI は、攻撃者が住宅用 IP アドレスをハイジャックし、クレデンシャル スタッフィング攻撃を隠蔽する事例が増えていると警告しています。FBI とオーストラリアの警察当局の共同捜査の結果、30 万件を超える一意のログイン情報を販売していた 2 つのサイトが発見されました。これらの情報は、民間企業に対する攻撃に使用される可能性があるという警告が出されています。攻撃者は、大量のログイン試行を隠蔽するためにプロキシを設定しています。さらに住宅用 IP アドレスを使用すれば、通常の検出技術を回避できます(情報源:Cybersecurity Dive、FBI)。
Talos が発信している情報
- 『Talos Takes』エピソード#109:サイバー犯罪の小規模化が進む理由
- ウクライナ独立記念日に Talos の最新情報をライブ配信
- 8 月 12 日から 8 月 19 日の 1 週間における脅威のまとめ
- 戦争により脅かされてきたウクライナの生命線である農業が、今度はサイバー攻撃によって機能不全に陥る可能性あり
- シスコ:あらゆるインテリジェンスが平等に創られているわけではない
Talos が参加予定のイベント
シスコ セキュリティ ソリューション エキスパート セッション (10 月 11 日、13 日)
オンライン
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5:8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201
本稿は 2022 年 08 月 25 日に Talos Group
Tags:
