脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
iOS の脱獄がトピックに挙がるのは珍しいことです。脱獄につながる脆弱性は Apple 社がすぐに修正するからです。しかし最近発見された脆弱性は修正が不可能なため、脱獄ツールを研究者たちが先を争って公開しています。一方で、悪意のある攻撃者たちはこうした機会につけこもうともしています。先日は、脱獄ツールを提供するとうたった不正サイトが発見されました。発見されたサイトは、実際には単なるクリック詐欺であり、ユーザのデバイスに不正なプロファイルをインストールするものでした。
Adobe 社は今週、Acrobat Reader で今年前半に発見された脆弱性に対して、3 回目となる修正プログラムをリリースしました。これらの脆弱性には、侵入先のシステムで任意コードを実行される危険性があります。
週ごとの「脅威のまとめ」もご覧いただけます。このまとめは、毎週金曜日の午後にブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Talos at BSides Belfast
開催地:Titanic Belfast(北アイルランド、ベルファスト)
日付:10 月 31 日
骨子:Talos の複数の研究者が 4 つの講演を行う予定です。最初に、脅威ハンティングの利点について Martin Lee が概要を説明し、最近発生した一連のサプライチェーン攻撃について Nick Biasini と Edmund Brumaghin が解説します。Edmund Brumahin と Earl Carter による「死角となっている DNS と、それを狙う攻撃者」の講演が続き 、最後に iOS に対する攻撃について Paul Rascagneres が最近の研究をご紹介します。
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecureWV/Hack3rCon X
開催地:チャールストンコロセウム・コンベンションセンター(米国ウエストバージニア州チャールストン)
日付:11 月 15 日 ~ 17 日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワークプロトコルのひとつですが、他のネットワークプロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティアーキテクチャを簡単に破壊できる手段として、レッドチームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバーセキュリティ概況
- 郵便業務に関するサービスを提供する Pitney Bowes 社、ランサムウェア「Ryuk」の攻撃により一部のシステムが短時間停止する。この攻撃は、米国郵政公社の一部のサービスにも影響を与えました。
- 米国のボルチモア市、今年前半のランサムウェア攻撃を受けて、2,000 万ドルのサイバー保険への加入を検討中。検討中の保険では、対応費用、業務停止に伴う損失、身代金の支払いがカバーされます。
- 米国政府、サウジアラビアの石油施設への攻撃に対する報復として、9 月 14 日にイランにサイバー攻撃を行った模様。軍当局者によれば、「プロパガンダ」を拡散するイランの能力を低下させることが攻撃の狙いでした。
- 2 人のモロッコ人活動家、スパイウェア「Pegasus」の標的にされる。2 人は、不正な Web サイトへのリンクを含む SMS メッセージを大量に受信しました。これらのメッセージは、iOS で発見されたゼロデイ脆弱性を突いたものです。
- Google 社の最新型 Pixel スマートフォン、デバイスがオフラインであっても AI によって音声を自動的に文字起こしする機能が搭載。Google 社によると、変換はすべてデバイス上で行われます。
- 銀行の ATM マシンから内部の現金をすべて吐き出させるマルウェア、世界中に拡散。これは「ジャックポット攻撃」と呼ばれ、まだ広くは報道されていませんが、今年になって増加しています。
- Mozilla 社、コードインジェクション攻撃からユーザを保護するために Firefox のセキュリティを強化していると発表。今後の Firefox ではインラインスクリプトが使用されなくなり、「about」プロトコルが改善されます。
- 中国政府、1 億人以上の市民をスパイできるモバイルアプリを導入中。政府職員や中国共産党役員にはインストールが必須になっているようです。
- 盗難クレジットカードの番号をオンラインで販売するアンダーグラウンドのマーケットプレイス「BriansClub」、ハッキング被害に遭う。BriansClub からはおよそ 2,600 万枚のクレジットカード番号が救出されました。救出されたカードのうち、800 万枚は今年になってから追加されたものでした。
最近の注目すべきセキュリティ問題
件名:Apple の WebKit により、悪意のある広告がユーザに表示される
説明:Apple 社製の WebKit に内在する複数の脆弱性により、悪意のある広告がユーザに表示される事態が起きています。影響を受けたのは iOS および MacOS 上の Google Chrome および Safari Web ブラウザです。該当の脆弱性は最新のセキュリティアップデートですべて修正されています。いずれの広告も各ユーザの携帯電話会社に関するもので、悪意のある Web サイトに誘導しようとするものでした。脆弱性が存在していると、サンドボックスが作られていても広告によってそれが突破されます。
Snort SID:51821 ~ 51824、51831、58132(作成者:John Levy)
件名:vBulletin で見つかったリモートコード実行の脆弱性
説明:人気のサービス「vBulletin」内の脆弱性(現在は修正済み)により、攻撃者は vBulletin を使用しているサイトを完全に乗っ取ることが可能になります。vBulletin は多くの人気サイトでコメント機能を提供しています。この脆弱性がエクスプロイトされると、バージョン 5.0.0 ~ 5.5.4 を実行している vBulletin サーバ上で悪意のあるコードをリモートから実行される可能性があります。脆弱性は、当初、匿名ユーザによって公開されゼロデイ状態になっていましたが、現在では修正済みです。以下の Snort ルールは、脆弱性を使用してサーバにコードを挿入しようとする攻撃を防ぎます。これらのルールは Marcos Rodriguez によって作成されました。
Snort SID: 51834 ~ 51837(作成者:Marcos Rodriguez)
今週最も多く見られたマルウェアファイル
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.WNCryLdrA:Trojan.22k2.1201
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:なし
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5:db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:xme32-2141-gcc.exe
偽装名:なし
検出名:W32.46B241E3D3-95.SBX.TG
本稿は 2019年10月17日に Talos Group のブログに投稿された「Threat Source newsletter (Oct. 17, 2019)」の抄訳です。