Cisco Japan Blog

脅威情報ニュース レター(2019 年 7 月 3 日)

1 min read



脅威情報ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。

Talos では今週、Simple DirectMedia Layerpopup_icon で発見された 2 件の脆弱性や、Google Chromepopup_icon の V8 JavaScript エンジンで確認されたメモリ破損のバグなど、複数の脆弱性を公開しました。

また今週は、古い手口であるエクスプロイト キットも確認されました。エクスプロイト キットは以前ほど頻繁に使用されなくなったとはいえ、最近では他にも、悪名高い「Heaven’s Gate」手口を使用してリモート アクセスのトロイの木馬と情報摂取マルウェアpopup_iconを配布するキャンペーンが発見されています。

今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」popup_iconも記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。米国では 7 月 4 日が休日になるため、今後数日間はブログやソーシャル メディアの更新頻度が下がる予定です。

今後予定されている Talos の公開イベント

イベント:SecTor 「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」popup_icon
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルの 1 つですが、多くの企業は自社環境に存在するその他のネットワーク プロトコルと同じレベルの監査を DNS には行っていません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃の技術的詳細を示します。

サイバー セキュリティ週間の概要

  • 米国の食品医薬品局(FDA)、セキュリティ上の懸念によりインスリン ポンプのリコールpopup_iconを発表。FDA によると、リコールの理由はポンプの製造メーカーが開示した脆弱性にあります。この脆弱性により無許可の人物がポンプにワイヤレスで接続し、設定を変更する可能性があるようです。
  • Dridex ランサムウェアの新しい亜種popup_icon、セキュリティ製品による検出を困難にする手口を実装。セキュリティ研究者によると、この亜種が最初に登場したのは先月のことで、アプリケーションのホワイトリスト登録を悪用することで Windows Script Host を無効化または回避します。
  • 「Silexbot」と呼ばれる新種のマルウェアpopup_icon、これまでに 4,000 台以上の IoT デバイスを利用不能に。研究者は、犯人がティーン エイジャーである可能性も視野に入れています。
  • 大手クラウド サービス プロバイダー、セキュリティ侵害によりpopup_icon顧客の電子メール アドレスなどの個人情報が流出した可能性が発覚。PCM Inc. が攻撃に気付いたのは今年初めでした。クライアントの電子メールとファイル共有システムに攻撃者がアクセスできた可能性があると考えています。
  • 米国のサイバー軍、Microsoft Outlook ユーザにできるだけ早くソフトウェアの修正プログラムを適用popup_iconするよう警告。サイバー軍によると、Outlook の特定の脆弱性をエクスプロイトする攻撃が発見されています。攻撃の起源はイランだと考えられています。
  • Google 社、アドウェアに感染した 100 以上のアプリpopup_iconをストアから削除。セキュリティ研究者によると、アプリは計 930 万回ダウンロードされ、多くは被害者のスマートフォンを使って広告収入を得ていました。
  • ジョージア州の司法ネットワーク、今週に起きたハッカーによるランサムウェア攻撃で機能停止popup_icon。ただしシステムは比較的迅速に回復しています。政府関係者によると、今回の攻撃は国外から発生したものです。
  • Facebook 社、過去 5 年間でマルウェアの拡散を助長した 30 のアカウントを削除popup_icon。同社によると、これらのマルウェア攻撃ではリビアに関連する偽のニュース サイトが中心に使われてきました。悪意のあるサイトへと被害者を誘導し、そこでリモート アクセスのトロイの木馬をダウンロードさせる狙いがあります。
  • スマート ホーム デバイスを製造する中国 Orvibo 社、何年にもわたってユーザのログを流出させていたことが判明popup_icon。セキュリティ研究者は、パスワードで保護されていない同社のデータベースを ElasticSearch サーバ上で発見しました。

最近の注目すべきセキュリティ問題

件名:新しく発見されたエクスプロイト キット「Spelevo」、バンキング型トロイの木馬を配信

説明:Cisco Talos の研究者は、「Spelevo」と呼ばれる新しいエクスプロイト キットを発見しました。ここ数年間エクスプロイト キットはなりを潜めていましたが、このキットは Adobe Flash Player の脆弱性を突くなど古い手口を使用しています。感染した後は、IcedID や Dridex などのバンキング型トロイの木馬を中心に、さまざまなペイロードをダウンロードします。Spelevo の攻撃者は完全に金銭目的だと考えられます。

Snort ID50509 ~ 50511

 

件名:Mac への攻撃で使用された Firefox のゼロデイ脆弱性、更新プログラムが提供開始

説明:Firefox の最新アップデートでは一連のバグが修正されています。その中で特に注目されるのが、暗号通貨マイナーの不正インストールでエクスプロイトされていた脆弱性です。先週には、JavaScript プログラミング手法で発見された任意コード実行の脆弱性(通称「Array」)が修正されたほか、その翌日にはサンドボックスのブレークアウト バグも修正されています。以下の 2 件の Snort ルールは「Array」の脆弱性から保護します。

Snort ID50518、50519

 

今週最も多く見られたマルウェアファイル

SHA 256 440944ab47cc3140207179f5449ddacb32883a74a9cff11141fdf494eaf21592

MD5 dd77416ab164d3423b00f33380cf06ca

典型的なファイル名:SafeInstaller

偽装名:SafeInstaller

検出名:PUA.Win.Downloader.Installiq::tpd

 

SHA 256 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3

MD5 47b97de62ae8b2b927542aa5d7f3c858

典型的なファイル名:qmreportupload.exe

偽装名:qmreportupload

検出名:Win.Trojan.Generic::in10.talos

 

SHA 256 64f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8b

MD5 42143a53581e0304b08f61c2ef8032d7

典型的なファイル名:

偽装名:JPMorganChase Instructions SMG 82749206.pdf

検出名:Pdf.Phishing.Phishing::malicious.tht.talos

 

SHA 256 c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f

MD5 e2ea315d9a83e7577053f52c974f6a5a

典型的なファイル名:Tempmf582901854.exe

偽装名:

検出名:W32.AgentWDCR:Gen.21gn.1201

 

SHA 256 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b

MD5 799b30f47060ca05d80ece53866e01cc

典型的なファイル名: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b.bin

偽装名:

検出名:W32.Generic:Gen.22fz.1201

 

本稿は 2019年7月3日に Talos Grouppopup_icon のブログに投稿された「hreat Source newsletter (July 3, 2019)popup_icon」の抄訳です。

コメントを書く