Categories: 脅威リサーチ

脅威情報ニュースレター(2022 年 8 月 25 日):ウクライナ問題はまだ終わっていない

今週も脅威情報ニュースレターをお届けします。

ロシアのウクライナ侵攻は人々の注目を集め、一時期は世界中がその話題で持ちきりとなりました。紛争が始まって 6 か月が経過し、最近では人々の関心も他のニュースへと移ってしまっています。ですが、昨日のウクライナ独立記念日は、ウクライナへの脅威は依然として消えていないことを誰もが改めて思い起こすきっかけになったはずです。

ウクライナとロシアの物理的な衝突は今も連日続いていて、簡単には収束しそうもありません。サイバー攻撃も引き続き盛んに展開されると見られています。

昨日のライブ配信でお話ししたように、Talos は、最新の GoMet バックドアなど、ウクライナにおけるサイバーセキュリティの脅威の進化を目にし続けています。また Joe Marshall が先週のブログ投稿で説明しているように、ウクライナの農産業は世界の食料サプライチェーンに不可欠ですが、物理攻撃にもサイバー攻撃にも脆弱な状態にあります。ロシアの侵略が始まって以来、ウクライナを標的とした大規模なサイバー攻撃は一度も起きていません。そのため、一般の人たちの間では「状況はそれほど悪くない」という見方が広がっています。ですが、国家の支援を受けた攻撃者は、ウクライナの政府機関や重要インフラを集中的に狙ってさまざまな攻撃を展開し続けているのです。具体的には、悪名高い Fancy Bear や Sandworm などの攻撃者グループの活動が確認されています。

先週も、ウクライナの国営原子力発電会社が、自社の Web サイトに対して国家の支援を受けた攻撃者が 3 時間にわたり攻撃を仕掛けてきたと発表しました。

毎晩のニュースのヘッドラインで 3 時間におよぶ分散型サービス妨害攻撃が取り上げられることはありません。ですが、だからといって発生していないわけではないのです。そうした攻撃が原因で、ウクライナ政府と重要インフラの運営は厳しさを増しています。侵攻から 6 か月が経過した現在でも、ウクライナには毎日サイバー脅威を回避する必要がある人たちがいます。インターネットに接続し続ける、あるいはその週の穀物の出荷が予定通りに行われるようにするだけであっても、サイバー脅威に警戒しなければならないのです。

ニュースのヘッドラインは次々と取り上げられては消えていくため、私たちは新しいものに気を取られてしまいがちです。ただ、Android ストアで見つかった最新のトロイの木馬が話題になっていても、その裏ではそれよりも重大な出来事が常にいくつも進行しているのだということを忘れないことが大切です。

重要な情報

デバイスをまだ更新していない Apple ユーザーは、必ず更新するようにしてください。Apple 社は先週、iOS、iPadOS、macOS のセキュリティアップデートをリリースし、実際にエクスプロイトされた可能性のある 2 件の脆弱性について警告を発しました。CVE-2022-32894 は、オペレーティングシステムのカーネルにおける境界外書き込みの脆弱性です。攻撃者がこの脆弱性をエクスプロイトし、カーネル権限で任意のコードを実行してシステムを制御する可能性があります。CVE-2022-32893 は WebKit の境界外書き込みの脆弱性で、同様に任意のコード実行につながる可能性があります。

注意すべき理由

Apple 社は、これらの脆弱性をエクスプロイトする可能性のある攻撃の詳細を明らかにしていませんが、この脆弱性が「活発にエクスプロイトされている可能性がある」という報告があったと発表しています。同社によると、脆弱性は iPhone 6s 以降、iPad Pro のすべてのモデル、iPad Air 2 以降、iPad 第 5 世代以降、iPad mini 4 以降、および iPod touch 第 7 世代に存在します。これらのデバイスを利用している方は、できるだけ早くパッチを適用する必要があります。

必要な対策

Apple デバイスを使用している場合は、とにかくパッチを適用するようにしてください。

今週のセキュリティ関連のトップニュース

LockBit ランサムウェアの Web サイトが、あるサイバーセキュリティ企業の文書を漏洩するという脅迫を行った後で、大規模な分散型サービス妨害(DDoS)攻撃を受けました。一時は同サイトに、標的企業から盗んだデータをピアツーピアネットワークにアップロードすることを計画しているという警告も表示されていました。この攻撃について最初に報じたのは、Talos の Azim Shukuhi です。LockBit のメンバーが、同サイトのサーバーが「1,000 台以上のサーバーから 1 秒あたり 400 件のリクエスト」を受信しており、「ハックバック」攻撃の可能性があると語ったとツイッターに投稿しました。DDoS 攻撃とは、サイトに大量のトラフィックやメッセージを送り込んで運用を妨害し、一定期間サイトを事実上の強制停止に追い込もうとするものです(情報源:The RegisterTechCrunch)。

Twitter の元セキュリティ責任者 Peiter Zatko 氏(「Mudge」のハッカー名で知られる)が、Twitter によるボットやスパムアカウントの取り締まりが不十分だという苦情を米国証券取引委員会(SEC)に申し立てました。同氏は、歴史上最初期のハッキング集団「Cult of the Dead Cow」への関与で知られています。SEC への証言では、重要なユーザーデータにアクセスできる Twitter 社従業員が多すぎること、また、ユーザーデータの削除の要請があっても実際には削除していなかったことについても述べています。Twitter 上のボットアカウントの数は、Elon Musk 氏による同社の買収が失敗に終わった主な原因です(情報源:CNNThe Verge)。

FBI は、攻撃者が住宅用 IP アドレスをハイジャックし、クレデンシャル スタッフィング攻撃を隠蔽する事例が増えていると警告しています。FBI とオーストラリアの警察当局の共同捜査の結果、30 万件を超える一意のログイン情報を販売していた 2 つのサイトが発見されました。これらの情報は、民間企業に対する攻撃に使用される可能性があるという警告が出されています。攻撃者は、大量のログイン試行を隠蔽するためにプロキシを設定しています。さらに住宅用 IP アドレスを使用すれば、通常の検出技術を回避できます(情報源:Cybersecurity DiveFBI)。

Talos が発信している情報

Talos が参加予定のイベント

シスコ セキュリティ ソリューション エキスパート セッション 10 11 日、13 日)

オンライン

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645

MD52c8ea737a232fd03ab80db672d50a17a

一般的なファイル名: LwssPlayer.scr

偽装名:梦想之巅幻灯播放器

検出名:Auto.125E12.241442.in02

SHA 256a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91

MD57bdbd180c081fa63ca94f9c22c457376

一般的なファイル名:c0dwjdi6a.dll

偽装名:なし

検出名:Trojan.GenericKD.33515991

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c

MD5a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名:AAct.exe

偽装名:なし

検出名:PUA.Win.Tool.Kmsauto::1201

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

MD58c69830a50fb85d8a794fa46643493b2

一般的なファイル名: AAct.exe

偽装名:なし

検出名:PUA.Win.Dropper.Generic::1201

 

本稿は 2022 年 08 月 25 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 25, 2022) — We’re still not talking about Ukraine enough」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。