今週も脅威情報ニュースレターをお届けします。
今年もお待ちかねの時期がやってきました。もうすぐ訪れるクリスマス休暇の話ではありません。Snort 2023 カレンダーがついに完成しました。今回もなかなかの出来映えです。定番のミームと愉快なキャラクター「Snorty」が満載のこのカレンダーを使えば、一年中お楽しみいただけること間違いなしです。Talos のクリエイティブチームが制作した独創的なデザインにより、実に見事なカレンダーに仕上がっています。すべてをお見せするわけにはいきませんが、お気に入りの画像を 1 つ以下に載せておきます。
こちらのカレンダーが欲しいという方は、簡単なアンケートにご回答ください。カレンダーの発送は 2022 年 12 月開始予定で、配送先は米国内のみとさせていただきます。数に限りがありますのでお早めに。
重要な情報
寄稿者:Chris Neal
今週、Cisco Talos は、AutoIt スクリプト言語で記述された LodaRAT(リモートアクセスツール兼情報窃取マルウェア)の新しい亜種とバージョンについて詳しく説明するブログ記事を公開しました。さらに、RedLine、Neshta、S500(VenomRAT の亜種)という、より高度なマルウェアと一緒に LodaRAT が展開されたサンプルもいくつか特定しています。
注意すべき理由
新バージョンの登場や他のマルウェアファミリとの組み合わせは、2022 年を通した LodaRAT の成長度合いを示すものです。Talos が確認した多くのバリエーションでは、LodaRAT に機能が追加され、高性能化が行われていました。接続されているすべてのリムーバブルストレージに LodaRAT をコピーして感染拡大を図る注目すべき亜種も確認されています。こうした変更は、将来的により高度な亜種が脅威として出現する可能性があることを示しています。
必要な対策
Cisco Talos は LodaRAT の調査を継続し、将来の亜種のカバレッジを提供していきます。なお、今回の調査中に確認したすべてのサンプルについても、Snort および ClamAV のフルカバレッジを提供しています。毎回お伝えしていることですが、Cisco Talos は、すべての製品が最新バージョンに更新されていることを確認し、徹底的な標準化を図ったセキュリティ態勢を維持することを推奨しています。
今週のセキュリティ関連のトップニュース
オーストラリアでは、同国の電気通信会社 Optus と保険会社 Medibank を標的とした大規模なサイバー攻撃が 2 度発生したことを受け、攻撃的な対応策が講じられています。常設のタスクフォースを設立するにあたり、同国のサイバーセキュリティ担当大臣クレア・オニール氏は「ハッカーをハッキングする」と宣言しました。同氏は「共同常設作戦の目的は、オーストラリア国民がサイバー犯罪に見舞われた際の対応にとどまりません。世界中のサイバー犯罪者を捜索し、活動を妨害していきます」と述べています(情報源:itnews)。
米国の宝くじ「メガミリオンズ」で大当たりがまだ出ないという方は、バグ探しの報奨金を狙ってみてはいかがでしょうか。ある幸運なセキュリティ研究者が、「思いがけない」セキュリティバグを発見し、7 万ドルもの大金を手にしました。非公開で報告されたこのバグは、パスコードを知らなくても、誰でも Google Pixel スマートフォンのロックを解除できるようになるというものでした。セキュリティが回避されるこのバグは CVE-2022-20465 として追跡されています。悪用すれば、ロック画面でパスコードを入力することなくデバイスのデータにアクセスできます(情報源:TechCrunch)。
教育機関は引き続きランサムウェアの最大の標的となっており、今年のサイバーセキュリティの傾向と一致しています。新学期が始まり、教育現場では、時間的な制約により関係者が騙されやすい状況(学生ローンの締め切りやローン関連の情報を話題として利用するなど)が生まれています。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)のジェン・イースタリー長官は、幼稚園から高校までの学校の安全とセキュリティに関する全国サミットで、「ネットワークへのアクセス制限から、試験の遅延、休校、学生や職員に関する個人情報への不正アクセスまで、影響は多岐に及んでいます」と述べました。サミットの直前、Center for Internet Security が、教育分野全体のサイバー成熟度に関する懸念事項として、81% の学校が多要素認証を実装していないことを指摘するレポートを発表しました。ただし、サイバー保険には 83% の学校が加入しています。これについては、Talos の Martin Lee が寄稿したばかりです(情報源:SC Media)。
Talos が発信している情報
Talos が参加予定のイベント
SIS(セキュリティインテリジェンスサミット)2022.ON(11 月 29 日)
ソウル、朝鮮パレスホテル
AVAR(Association of Anti-Virus Asia Researchers)2022.ON(12 月 1 ~ 2 日)
シンガポール、カールトンホテル
CactusCon(1 月 27 日~ 28 日)
アリゾナ州メサ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:1077bff9128cc44f98379e81bd1641e5fbaa81fc9f095b89c10e4d1d2c89274d
MD5:26f927fb7560c11e509f0b8a7e787f79
VirusTotal:https://www.virustotal.com/gui/file/1077bff9128cc44f98379e81bd1641e5fbaa81fc9f095b89c10e4d1d2c89274d/details
一般的なファイル名:Iris QuickLinks.exe
偽装名:なし
検出名:W32.File.MalParent
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Worm.Generic.914973
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
VirusTotal:https://www.virustotal.com/gui/file/e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934/details
一般的なファイル名:Wextract
偽装名:なし
検出名:W32.File.MalParent
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
VirusTotal:https://www.virustotal.com/gui/file/125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645/details
一般的なファイル名:LwssPlayer
偽装名:なし
検出名:Auto.125E12.241442.in02
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5:d47fa115154927113b05bd3c8a308201
VirusTotal:https://www.virustotal.com/gui/file/00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
一般的なファイル名:outlook.exeClaimed
偽装名:MS OutlookDetection
検出名:W32.00AB15B194-95.SBX.TG
本稿は 2022 年 11 月 17 日に Talos Group のブログに投稿された「Threat Source newsletter (Nov. 17, 2022): Hot off the press! The Snort 2023 Calendar is here」の抄訳です。