今週はアメリカ国内の情勢を踏まえて、ソーシャルメディアでのコンテンツ配信や宣伝を休止しています。しかし最新の IOC と脅威情報は引き続きお届けします。
今後予定されている公開イベント
イベント:「誰でも進化する時代:今の脅威ランドスケープにおける攻撃者の進化(Everyone’s Advanced Now: The evolution of actors on the threat landscape)」/ Interop Tokyo 2020
会場:特設 Web サイトでのストリーミング配信
会期:6 月 10 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
イベント:Cisco Live 米国
会場:ストリーミング配信
会期: 6 月 15 ~ 17 日
講演者:Craig Williams、Sean Mason
骨子:無料の Cisco Live(米国)にバーチャルでご参加ください。2 日間にわたって多数の講演を予定しています。Talos については、アウトリーチチームの Craig Williams が最近の脅威の概要を説明し、Talos の最新の調査に関する最新情報を視聴者にお届けします。また Cisco Talos のインシデント対応の責任者である Sean Mason も、過去 1 年間の IR の状況と、最悪の事態に備えるうえで CTIR がどのように役に立つかについて説明します。
1 週間のサイバー セキュリティ概況
- ジョージ・フロイドさんが警察の暴行により死亡した事件に絡み、先週末にミネアポリス市を狙ったサイバー攻撃が発生。攻撃直後から、ハッカー集団「アノニマス(Anonymous)」メンバーを名乗る複数の Twitter ユーザが犯行声明を出しています。
- ミネアポリス市へのサイバー攻撃で、多数の警察官の電子メールアドレスが流出。「アノニマス」による犯行を臭わせる証拠が見つかっています。
- 「Black Lives Matter」の活動家を狙い、一部の極右集団によるサイバー攻撃が発生。寄付や教育活動が増加していることもあり、多くの地方組織の Web サイトがサービス妨害攻撃を受けています。
- 多くのサイバーセキュリティ企業の幹部、組織の多様性を向上させるよう取り組むと発表。他の著名なセキュリティ研究者も、専門知識を活かして活動家を支援すると述べています。
- 米議会、新型コロナ感染症の接触追跡アプリを規制する新たな法律を策定開始。アプリがどのようなデータを収集し、どう保存するかについて、議員の間で懸念が広まっています。
- オフィスに復帰する従業員が増える中、企業側は従業員の健康状態や位置を把握するために追跡アプリを使用。多くのアプリでは症状の有無について自己申告する必要があります。また、感染が確認された従業員との接触履歴があれば警告する機能を備えています。
- マルウェア「Strandhogg 」の新バージョン、Android デバイスから情報を秘密裏に盗み出せる可能性が発覚。影響を受けるのは Android 9.0 およびそれ以前に限られます。
- GitHub 社、複数の Java プロジェクトを通じてマルウェアが配布されていたと警告。GitHub に置かれた少なくとも 26 件のプロジェクトが、いわゆる「Octopus Scanner」に感染していました。
- Google 社、Android で確認された多数の脆弱性を修正。同社が「緊急」と評価する 2 件のリモートコード実行の脆弱性も、今回の修正プログラムに含まれています。
- 偽の履歴書を開かせてトロイの木馬や情報窃取マルウェアをダウンロードさせる手口が拡大中。コロナ禍で各国の求職者が増えている事態につけ込んだ攻撃手段です。
最近の注目すべきセキュリティ問題
件名:マルウェア「Mokes」に感染させるため、証明書の期限切れ通知が偽装される
説明:Web サイトに不正侵入し、サイトの証明書が失効しているという偽の通知を表示させる手口が確認されました。URL バーには正規の URL が表示されますが、画面全体に「セキュリティ証明書の有効期限が切れています」という偽の通知が表示されます。新しい証明書をダウンロードするボタンを ユーザがクリックすると、ダウンローダー「Buerak」やマルウェア「Mokes」などに感染します。
Snort SID:54097 ~ 54106
件名:マルウェア「ZeuS」の亜種がオンラインで販売される
説明:悪名高いバンキング型トロイの木馬「ZeuS」の新しい亜種が販売されています。この亜種は「Silent Night」として知られ、セキュリティ研究者によれば登場したのは昨年 11 月のことです。Silent Night は現在、ロシアのダークウェブフォーラムで販売されています。マルウェアの特徴は、中心的な攻撃モジュールを取得して他の実行中のプロセスに注入することです。手口やコードは ZeuS と酷似しています。
Snort SID:54093、54094
今週最も多く見られたマルウェアファイル
SHA 256:094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5:a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名: W32.85B936960F.5A5226262.auto.Talos
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV、Immunet にも独自のアカウントがあります。ぜひフォローして最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年6月4日に Talos Group
Authors