Cisco Japan Blog

脅威情報ニュースレター(2020 年 7 月 30 日)

1 min read



Talos 読者の皆様、こんにちは。

スパムの攻撃者は世間で話題のトピックに便乗することを好みます。新型コロナウイルス(COVID-19)から Black Lives Matter、さらには毎年のブラックフライデーまで、サイバー犯罪者たちは常に最新のトピックを利用しようと画策しています。その理由は何でしょうか?そして、どのようなタイミングで最新トピックに飛びつくのでしょうか?

Talos の最新のブログ記事では、こうした手口に着目し、攻撃者がビッグニュースを利用するメリットとデメリットについて説明しています。

1 週間のサイバーセキュリティ概況

  • クラウドプラットフォームに対するランサムウェア攻撃を受けた GPS 企業の Garmin 社、サービスを再開popup_icon。クラウドサービスのユーザは、フィットネスの記録やナビゲーションの利用が中心ですが、さらに深刻だったのは、アマチュアパイロットが利用している同社のフライト トラッキング サービスが停止したことでした。
  • Evil Corp による APT 攻撃popup_iconをセキュリティ研究者たちが非難。同グループは、ランサムウェア「WastedLocker」とログイン情報窃取ツール「Dridex」を使用することで知られています。
  • 大手化粧品メーカーの Avon 社、利用中の Microsoft Azure サーバの 1 つを暗号化やパスワード設定なしでインターネットに公開popup_iconしたまま放置。その間、攻撃者がサーバにアクセスして OAuth やその他のセキュリティトークンを取得した可能性があるとセキュリティ研究者たちは警鐘を鳴らしています。
  • 多くの消費者はICチップカードによる決済で安全性が高まると考えていることが判明。しかし、セキュリティ対策はカード発行機関によって異なるpopup_iconのが現実です。
  • 北朝鮮政府の支援を受けた攻撃者集団が米国の防衛機関、航空宇宙機関popup_icon、および民間企業を狙っていると一部で報道。感染媒体には採用通知を装った典型的なフィッシングメールなどが含まれます。
  • Zoom 社、過去に見つかっていた脆弱性を 4 月に修正していたことを最近になり公表。攻撃者はこの脆弱性を利用し、ブルートフォース攻撃でパスワードを割り出すことで、任意の会議に参加できていました。同社のビデオ会議プラットフォームは、コロナ禍により全世界で急成長を遂げていますが、悪意のある攻撃者にとっては格好の標的になっています。
  • FBI、最近の NetWalker ランサムウェア攻撃の急増popup_iconについて、米国および各国の政府機関に警告。ランサムウェアに感染しても身代金を支払わず、ただちに FBI に報告するよう呼びかけています。
  • 先日、Emotet ボットネットをハッカーが改変し、悪意のあるペイロードをユーモラスな GIF に差し替えるpopup_icon。Emotet は世界中に大量のスパムメールを拡散させている大規模な攻撃です。

最近の注目すべきセキュリティ問題

タイトル:新たなボットネットが登場し、仮想通貨 Monero の不正マイナーが拡大
説明:Cisco Talos は最近、複数の方法で拡散するマルチモジュール型のボットネット「Prometei」と、仮想通貨 Monero の不正マイナーを利用した、金銭目的の複雑な攻撃を発見しました。ボットネットの拡散には、盗み出したログイン情報と SMB、PsExec、WMI、SMB エクスプロイトを併用するなど、さまざまな方法が使われています。また、Monero のマイニングに参加するシステムの数を増やせるよう、巧妙に設計された複数のツールを使用しています。Prometei は環境全体への拡散を狙う一方で、管理者パスワードの復元も試みます。パスワードが検出されると C2 サーバに送信され、他のモジュールによって再利用されます。これらのモジュールは、SMB および RDP プロトコルを使用して、取得したパスワードが他のシステムでも有効か検証を試みます。
Snort SIDs54610-54612

タイトル:重大度の高い Cisco Adaptive Security Appliance の脆弱性を攻撃者が悪用popup_icon
説明:Cisco Adaptive Security Appliance (ASA)ソフトウェアおよび Cisco Firepower Threat Defense(FTD)ソフトウェアの Web サービスインターフェイスで発見された脆弱性が攻撃者によって頻繁にエクスプロイトされています。認証されていないリモートの攻撃者がディレクトリトラバーサル攻撃を実行し、標的システム上の機密情報を含むファイルが読み取られる危険性があります。この脆弱性は HTTP 要求に含まれる URL の入力検証が不適切であることに起因します。攻撃者はこの脆弱性を利用してディレクトリトラバーサル攻撃を実行する可能性があります。
Snort SID54598 〜 54601

今週最も多く見られたマルウェアファイル

SHA 256e66d6d13096ec9a62f5c5489d73c0d1dd113ea4668502021075303495fd9ff82popup_icon
MD5f0fdc17674950a4eaa4bbaafce5007f6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:W32.Auto:e66d6d1309.in03.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon
MD534560233e751b7e95f155b6f61e7419a
一般的なファイル名: SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon
MD58193b63313019b614d5be721c538486b
一般的なファイル名:SAntivirusService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201

Twitterpopup_icon で Talos をフォローして最新情報を入手してください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 7 月 30 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for July 30, 2020popup_icon」の抄訳です。

 

コメントを書く