脅威情報ニュースレター(2022 年 12 月 8 日):リンクをクリックしまくった親戚のおじさんを救え
今週も脅威情報ニュースレターをお届けします。
年の瀬が押し迫ってくると、またあの胸を締め付けるような感覚がよみがえってきます。このニュースレターの読者なら、おそらくほとんどの方が毎年この時期に感じているあの感覚です。そう、職務や専門分野に関係なく、家族や知り合いの技術サポートを引き受けなければならない季節が今年もやってきました。IT 関連の無理難題を持ち込まれて、ホリデーシーズンの奇跡を期待されるという立派な役目です。そんなあなたの役に立ちそうな素敵なアドバイスは、残念ながら持ち合わせていません。あなたを苦痛から救う金言も思いつきません。私に言えるのはこれだけです。あなたは一人ではありません。たくさんメモを取っておきましょう。年が明けたらとっておきのエピソードを同僚に披露して笑い飛ばし、苦痛を忘れて一年のスタートを切りましょう。
来週は、一年の総括レポートを Talos が初めて発表します。お楽しみに。
重要な情報
Cisco Talos インシデント対応チーム(Talos IR)では、大規模なイベントを保護するための手順を説明したホワイトペーパーをご用意しました。大規模なイベントを準備する際の 10 の重点分野を説明するとともに、簡単なチェックリストを重点分野ごとに提供して、さまざまな組織や委員会がベンダーやサプライヤなどのイベント参加企業に適切な質問を行えるようにしています。このチェックリストは有用な出発点としてほとんどの組織で利用できますが、問題の複雑さやさまざまなセキュリティ要件によっては、詳細な分析を行ってリスク要因をすべて特定することが必要な場合があります。
注意すべき理由
Cisco Talos IR は数多くの世界的なイベントで最前線に立ち、またサポートの役割で参加して、大きな混乱を引き起こす前に脅威を封じ込めてきました。このホワイトペーパーではその経験を活かして、戦略面と戦術面の両方で強力なサイバーセキュリティ態勢やインシデント対応態勢を整備するための洞察を、課題、重要な側面、方法論という流れで説明しています。
必要な対策
イベントの前後やイベント開催中に発生する攻撃にはいくつかのタイプがあります。適切なチームがこのホワイトペーパーを読み、ブループリントに従ってそうした攻撃に対処できるようにします。10 の重点分野を活用して、大規模なイベントの前に適切なセキュリティ戦略を構築するようにしてください。
今週のセキュリティ関連のトップニュース
エンドポイントにおける検出と対応(EDR)テクノロジーの多くが深刻な脆弱性を抱えている可能性があり、その脆弱性が攻撃者にエクスプロイトされると、製品が操作されて、インストールされているシステムにあるデータが消去される危険性があることが判明しました。この問題を発見したのは SafeBreach 社のセキュリティ研究者である Yair 氏です。EDR ツールなどのセキュリティ製品はシステムのスーパーユーザー権限を持っているため、システムファイルを含むシステム上のほぼすべてのファイルが攻撃者によって消去される危険性があります。Yair 氏は 12 月 7 日水曜日に Black Hat Europe カンファレンスでこの問題を公開しました。各ベンダーには 7 月から 8 月にかけて通知しています。脆弱な製品として挙げられたのは、Microsoft Windows Defender、Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus、SentinelOne などです(情報源:Darkreading
)。
クラウド サービス プロバイダーの Rackspace 社は本日、Hosted Exchange が現在停止しているのはランサムウェア攻撃を受けたからだと認めました。Rackspace 社は、「12 月 2 日に Hosted Exchange 環境で不審なアクティビティを検出しましたが、その後、この限定的な中断はランサムウェアの結果であることが判明しました。現在セキュリティチームが大手サイバー攻撃対策企業と協力して調査を進めています」とツイートしています。同社は、攻撃者が機密情報にアクセスした証拠が見つかった顧客には個別に通知すると述べています(情報源:Bleepingcomputer)。
Talos が発信している情報
- https://blog.talosintelligence.com/vulnerability-spotlight-memory-corruption-vulnerability-discovered-in-poweriso/
- https://blog.talosintelligence.com/vulnerability-spotlight-nvidia-driver-memory-corruption-vulnerabilities-discovered/
- https://blog.talosintelligence.com/vulnerability-spotlight-callback-technologies-cbfs-filter-denial-of-service-vulnerabilities/
- https://blog.talosintelligence.com/vulnerability-spotlight-lansweeper-directory-traversal-and-cross-site-scripting-vulnerabilities/
Talos が参加予定のイベント
CactusCon(1 月 27 日~ 28 日)
アリゾナ州メサ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
検出名:Simple_Custom_Detection
SHA 256:
1077bff9128cc44f98379e81bd1641e5fbaa81fc9f095b89c10e4d1d2c89274d
MD5:26f927fb7560c11e509f0b8a7e787f79
一般的なファイル名:Iris QuickLinks.exe
偽装名:なし
検出名:W32.File.MalParent
SHA 256:
e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:
125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
Tags:本稿は 2022 年 12 月 08 日に Talos Group
