脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
終わりが見えないのは、新型コロナウイルスの世界的流行だけではありません。この状況に便乗したサイバー犯罪も同じです。米政府の経済対策に関連するスパムは確実に増加するでしょう。
新型ウイルス関連以外のニュースとしては、バンキング型トロイの木馬「TrickBot」についての概説記事を投稿しました。TrickBot ファミリが出現してからずいぶん経ちますが、上述したコロナウイルス便乗攻撃に関連し、最近急速に拡散しています。TrickBot の症状や効果的な防御策などについては、こちらでまとめています。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に縮小している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- 米議会の幹部、コロナウイルスの感染拡大を受けて郵便での投票に切り替えるよう多くの州に通達。一部の州や地方自治体では、移行費用としてサイバーセキュリティ助成金の利用も視野にいれています。
- 大手ハイテク企業、今秋予定される米総選挙に向けて防御準備を進める。しかし過去 4 年間を振り返ると、偽情報の流布に備える防御側に劣らぬ速度で、攻撃側も手口を変えています。
- 新型コロナウイルスに感染した疑いがあるという偽情報で被害者を騙す、新たなフィッシング攻撃が確認される。電子メールに添付される文書にはマクロを有効にするよう指示するメッセージが含まれていますが、有効にするとマクロによってマルウェアがダウンロードされます。
- サイバー攻撃は全体的に増加中。世界保健機関(WHO)および米保健福祉省は、病院、民間組織、検査施設のいずれも幅広い攻撃を受けていると述べています。
- ビデオ会議アプリの Zoom を使ったミーティングで、「Zoombombers(Zoom 爆弾)」と呼ばれる妨害行為が拡大中。攻撃者が不特定多数のミーティングに参加し、自分の画面やマイクを共有して人種差別発言をしたり、有害で不適切なコンテンツを表示したりしています。
- Zoom 社側は 90 日間新機能の開発を凍結し、セキュリティバグの修正に専念すると発表。Zoom の利用者は昨年 12 月の 1,000 万人から現在 2 億人にまで急増しています。
- 人気のメッセージアプリ「Telegram」のサードパーティバージョンで、4,200 万人の個人情報の流出が確認される。暗号化されていないサーバに Telegram の電話番号とユーザ名が保存されていることを、セキュリティ研究者が突き止めています。
- SBTech 社のプラットフォームが今週サイバー攻撃を受け、人気のオンラインギャンブルサイトが数日間ダウン。今回のサイバー攻撃は、人気の Daily Fantasy Sports のサイト「DraftKings」との合併準備をしている最中に起こりました。
- 世界各国のハイテク企業数社、コロナウイルスの拡散追跡に役立つアプリケーションを開発中。ただし、その多くがセキュリティとプライバシー面のリスクを提示しています。
- Google Play ストアの 4,000 以上のアプリについて、デバイスにインストール済みアプリのリストを密かに追跡していることが判明。新しい報告書によると、これらのアプリの作成者は、ユーザのプロファイルを作成して広告主に販売している模様です。
最近の注目すべきセキュリティ問題
タイトル:Zyxel devices exploited by critical vulnerability, now patched
説明:脆弱性が発見された Zyxel 社製のネットワーク ストレージ デバイスに対して、Mirai ボットネットの亜種「Mukashi」が攻撃に使われています。問題の脆弱性 CVE-2020-9054 には、10 点中 9.8 という「緊急」評価が下されています(修正プログラムは提供済み)。攻撃者はこの脆弱性を悪用してデバイスに侵入し、追加の分散型サービス妨害攻撃を展開することで、マルウェアを特定の TCP ポートから送り込める危険性があります。
Snort SID:53495、53496、53507 ~ 53510
タイトル:複数のランサムウェアファミリでは、盗難データの公開サイトが新設
説明:ランサムウェアファミリと関連のある複数の攻撃者は、犠牲者が要求額を支払わない場合に、攻撃で盗んだ情報を「晒す」ための Web サイトを作成しています。3 月初旬にランサムウェア「Maze」がサイトを立ち上げて以来、Sodinokibi、Nemty、DoppelPaymer などのマルウェアが追従しています。Cisco Talos は今週、ランサムウェア「Sodinokibi」のダウンロードを防ぐ新しい Snort ルールをリリースしました。
Snort SID:53511、53512
今週最も多く見られたマルウェアファイル
SHA 256: a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776
MD5:5d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::in03.talos
SHA 256:8e0aea169927ae791dbafe063a567485d33154198cd539ee7efcd81a734ea325
MD5:5fb477098fc975fd1b314c8fb0e4ec06
一般的なファイル名:upxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in07.talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:64f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8
MD5:42143a53581e0304b08f61c2ef8032d7
一般的なファイル名:myfile.exe
偽装名:なし
検出名:Pdf.Phishing.Phishing::malicious.tht.talos
Talos からの最新情報については、Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年4月2日に Talos Group のブログに投稿された「Threat Source newsletter (April 2, 2020)」の抄訳です。