Cisco Japan Blog

脅威情報ニュース レター(2019 年 9 月 19 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

もうすぐ紅葉が深まる季節ですが、夏には砂浜での水遊びや BBQ など、アクティビティが盛りだくさんありました。夏を楽しんでいたのは攻撃者も同じかもしれません。絶えず活発だった「Emotet」も夏にかけて沈静化していましたが、最近になって新たな攻撃が複数発見されています。これ自体は悪いニュースですが、幸いにも以前と同じカバレッジpopup_iconによりシステムを保護できます。

別の絶えず続く脅威と言えば、クリプトマイニングです。デジタル通貨の価値は下落していますが、Talos が「Panda」と呼ぶ新しい攻撃者popup_iconが不正マイナーを拡散させています。

今週は脅威や脆弱性が多く発見された週でした。Aspose PDF APIpopup_iconAtlassian 社の Jira ソフトウェアpopup_iconAMD 社の ATI Radeonpopup_icon グラフィック カードの 3 製品で新たな脆弱性が見つかりました。

週ごとの「脅威のまとめ」popup_iconもご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。

今後予定されている Talos の公開イベント

イベント:Virus Bulletin 2019popup_icon で発表予定の「DNS on Fire(狙われる DNS)」
開催地:ノボテル ロンドン ウエスト ホテル(英国、ロンドン)
日付:10 月 2 日~ 4 日
講演者:Warren Mercer、Paul Rascagneres
骨子:Talos から Paul と Warren の 2 人が登壇し、DNS を標的とした 2 件の攻撃キャンペーンについて解説します。ひとつは、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。このマルウェアを調査する中で、標的に対する DNS アクセスをリダイレクトする仕組みや、攻撃者が登録した複数の SSL 証明書が特定されています。講演ではこれら 2 件の攻撃手法、攻撃の手順、標的の構成について解説します。

イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」popup_icon at SecTor
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルのひとつですが、他のネットワーク プロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。

サイバー セキュリティ週間の概要

  • 更新プログラムを簡単に適用するための新しい更新ツールが Windows に導入popup_icon。しかし、セキュリティ研究者はすでにバグや脆弱性を発見しています。
  • パスワード管理アプリの「LastPass」、同アプリを使用して訪れたサイトからログイン情報が流出しかねない脆弱性popup_iconが発見される。同社によると、この脆弱性を修正した更新プログラムがすでにリリースされています。
  • 高度な攻撃者グループ、少なくとも 11 社の IT サービス企業のネットワークを侵害popup_icon。それらの企業から顧客のシステムへ侵入する目的があったと考えられます。攻撃者は少なくとも 2 社を介して顧客のネットワークに侵入し、管理者レベルのアクセス権を取得しました。
  • Facebook 社、コンテンツの削除判断に対する申し立てを見直す「監督委員会」popup_iconを設置すると発表。同社によれば、企業ユーザと個人ユーザの両方が監督委員会に申し立てられるようになる予定です。
  • FBI、Phantom Secure 社が販売するモバイル デバイスにバックドアを設置popup_iconしようと試みていたことが判明。同社が販売するデバイスは暗号化され、麻薬犯罪組織などに販売されていました。情報漏えいにより犯罪組織とのつながりが確認されたことで、同社は 2018 年に解散に追い込まれました。
  • 多くの有名スマート テレビ メーカー、よく見るコンテンツといったユーザの個人情報(IP アドレスを含む)を収集、販売していたpopup_iconことが判明。
  • オーストラリア政府、今年前半に起きた国会と 3 大政党に対する攻撃に中国政府が関与していた可能性が高いpopup_iconと発表。ただしオーストラリア経済への影響を懸念してか、政治家は公のコメントを控えています。
  • サイバーセキュリティに関する国際的な非営利団体popup_icon、Huawei 社を理事メンバーから外したと発表。この決定に対して Huawei 社は、団体に圧力をかけたとして米国政府を非難しています。
  • ヨーロッパの新しい銀行規制に関する新しい報告書、金融機関をサイバー攻撃に対してより脆弱にするpopup_icon可能性があると指摘。一連の新しい規制は「オープン バンキング」として知られています。銀行と共有する情報を顧客がより細かく管理できるようにするのが目的ですが、外部の金融テクノロジー企業との情報共有も許可されます。

最近の注目すべきセキュリティ問題

件名:一部の AMD Radeon グラフィック カードでリモート コード実行の脆弱性が発見popup_icon 
説明:一部の AMD Radeon グラフィック カードでは、ATIDXX64.DLL ドライバーに起因するリモート コード実行の脆弱性が発見されました。「Radeon」はグラフィック カードやグラフィックス処理ユニットなどのハードウェア シリーズの名称で、生産者は AMD 社です。今回の脆弱性は Radeon 550/Radeon RX 550 シリーズに存在し、VMWare Workstation 15 の実行中に発現します。VMware ゲスト OS 内で不正なピクセル シェーダーをドライバーに提供することによりエクスプロイトされる可能性があります。エクスプロイトされるとメモリが破壊され、攻撃者が任意コードをリモートで実行できる可能性があります。
Snort SID49978、49979(作成者:Tim Muniz)

件名:Atlassian 社の Jira サービスで、JavaScript のリモート実行を含む複数の脆弱性が発見popup_icon
説明:Atlassian 社製の Jira ソフトウェアに複数の脆弱性が発見されました。攻撃者による機密情報の窃取や JavaScript コードのリモート実行など、さまざまな不正操作を許す危険性があります。Jira は、タスクを作成、管理、整理し、プロジェクトを管理するためのソフトウェアです。今回発見された脆弱性では、攻撃者によって Jira 内で任意コードが実行されたり、Jira で作成したタスク内の情報(添付ドキュメントを含む)が窃取されたりするなど、さまざまな危険性が考えられます。
Snort SID50110、50111(作成者:Amit Raut)、50114(作成者:Josh Williams)

今週最も多く見られたマルウェア ファイル

SHA 256 7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510 popup_icon
MD5  4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名: xme64-2141.exe
偽装名: なし
検出名: W32.7ACF71AFA8-95.SBX.TG

SHA 256 26da22347f1d91f6ca56b7c47644a776b72251d3de11c90d9fd77556d5236f5e popup_icon
MD5 f6f6039fc64ad97895142dc99554e971
一般的なファイル名: CSlast.gif
偽装名: N/A
検出名: W32.26DA22347F-100.SBX.TG

SHA 256 46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08popup_icon
MD5 db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名:N/A
検出名: W32.46B241E3D3-95.SBX.TG

SHA 256 093cc39350b9dd2630a1b48372abc827251a3d37bd88c35cea2e784359b457d7 popup_icon
MD5 3c7be1dbe9eecfc73f4476bf18d1df3f
一般的なファイル名: sayext.gif
偽装名: なし
検出名: W32.093CC39350-100.SBX.TG

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5 799b30f47060ca05d80ece53866e01cc
一般的なファイル名: mf2016341595.exe
偽装名: N/A
検出名: W32.Generic:Gen.22fz.1201

 

本稿は 2019年9月19日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 19, 2019)popup_icon」の抄訳です。

コメントを書く