Cisco Japan Blog

脅威情報ニュースレター(2020 年 9 月 24 日)

1 min read



Talos 読者の皆様、こんにちは。

何か月(何年?)にもわたってベータ版のままだった Snort 3 ですが、このたび正式リリース候補版popup_iconが発表されました。約 1 か月後に公開される公式版にご期待ください。

同じく Snort ルールに関連する話題として、Cobalt Strike の検出と予防について詳しく解説した記事も公開しました。Talos 研究チームの一員である Nicholas Mavis が、Snort ルールと ClamAV シグネチャの作成について見事にかみ砕いて説明しています。Snort ルールと ClamAV シグネチャについてとことん学びたい方にお勧めです。

また、宿題の代行を謳う詐欺サイトについての新しい調査報告もあります。多くの学生が自宅で学習している現在、宿題代行サービスは以前よりも簡単に利用できるようになっていますが、これらのサイトにはマルウェアが仕組まれている場合があります。

今後予定されている公開イベント

イベント:Attribution: A puzzle(アトリビューション:犯人特定の複雑なパズル)popup_icon
会場:バーチャル VirusBulletin 会議 2020
開催日:9 月 30 日
講演者:Paul Rascagneres、Vitor Ventura
骨子:サイバー攻撃の犯人を特定することを一般に「アトリビューション」と呼びますが、その作業は困難を極めます。アトリビューションでは、さまざまなインテリジェンスを収集して分析し、誰が真犯人かを突き止める必要があります。民間組織でも入手可能な証拠を調査し、脅威インテリジェンス/セキュリティ研究グループとしてこれらの結論を裏付けるのは有意義なことです。このプレゼンテーションでは、WellMess のアトリビューションに関する Talos の研究成果を発表します。また、OlympicDestroyer や ACIDBox などの事例も取り上げ、虚偽のフラグやコードの共有といった、アトリビューションのプロセスに関係するその他の要素についても説明します。

イベント:A double-edged sword: The threat of dual-use tools(諸刃の剣:デュアルユースツールの脅威)
会場:Cisco Webex ウェビナー
開催日:10 月 8 日 午前 11 時(ET)
講演者:Edmund Brumaghin
骨子:最近では、情報セキュリティニュースを読むたびに、決まって大企業がサイバー犯罪者による脅迫の被害に遭ったというニュースが目に入ります。こうした脅威の状況から、リスクを特定してインフラの脆弱性を軽減するために多くの企業がレッドチームへの依存度をますます高めつつあります。そのための効果的なツールも業界全体で開発と強化が急ピッチで進んでいます。

本来、デュアルユースツールは、システム管理に加え、セキュリティテストやレッドチーミング活動の支援を目的として開発された管理者向けのツールです。しかし残念なことに、これらのツールの多くが、システム侵害や組織ネットワークへの攻撃、あるいは世界中の企業活動の妨害を目論む攻撃者にもしばしば利用されています。このウェビナーでは、デュアルユースツールと、それらのツールが歴史的にさまざまな攻撃でどのように使用されてきたかについて説明します。また、攻撃ライフサイクルのさまざまな段階で検出を免れるために、システム固有の機能やデュアルユースツールが実際の攻撃おいてどのように使用されることが多いのかについても、事例を挙げて説明します。さらに、正当なテクノロジーやツールセットが悪用されるのを防ぐ方法についても説明します。

1 週間のサイバーセキュリティ概況

  • Apple 社、iOS 14 をリリース。過去最高レベルの安全性を誇るモバイル OSpopup_icon として期待されています。新しいセキュリティ機能には、アプリがカメラやマイクにアクセスする際に、デバイスに保存された写真のアクセス権限や通知をきめ細かく管理できる特徴などがあります。
  • ドイツ警察、ランサムウェア攻撃に関連した初の死亡例popup_iconだと疑われる事件について、殺人容疑での捜査を開始。最近、あるドイツ人女性が入院先でサイバー攻撃の被害に遭い、一部の重要な装置がダウンしたことで亡くなっています。
  • 選挙のセキュリティに関する最新情報を得るうえで、米国議員の間では大手テクノロジー企業への依存度が高まるpopup_icon。トランプ政権が議会との情報共有を制限しているため、Facebook などの企業からブリーフィングを受ける議員が増加しています。
  • 何十億台ものインターネット コネクテッド デバイスが「BLESA」と呼ばれる新攻撃に対して脆弱popup_iconであることが判明。この脆弱性は Bluetooth Low Energy 規格で発見されたもので、IoT デバイスをスプーフィングされる危険性があります。
  • オンラインビデオゲームを標的としたサイバー攻撃が過去 2 年間で 100 億件を超えていたpopup_iconことが最近のレポートで判明。脅威の種類は、クレデンシャル スタッフィングからアカウントの乗っ取り、サービスの停止を狙った分散型サービス妨害攻撃に至るまで多岐にわたります。
  • ドナルド・トランプ大統領の選挙陣営、最近データブローカーに 400 万ドルを支払いpopup_icon米国有権者の個人情報を取得。しかし、どのアプリやサイトの情報を入手したのかは不明です。
  • 注目の TikTok 訴訟、米国裁判所で審理入りpopup_icon。先日、判事の 1 人がトランプ政権に対し、米国のアプリストアから TikTok を削除するまでの猶予期間を延長するよう求めました。現在、TikTok は米国事業の売却を検討しており、その結果を受けて判決を下せるようにすることが延長申請の理由であると判事は述べています。
  • イラン、今年の米大統領選挙に対して表向きは静観しつつ、サイバー攻撃は活発的に展開popup_icon。最新の情報によると、イラン政府が支援する複数のハッカー集団に対して、選挙妨害の指示が出されているようです。
  • ポーランド警察、虚偽の爆破予告によって Android および Windows 向けマルウェアを配布した大規模サイバー犯罪グループを解体したpopup_iconと発表。捜査官によると、グループの主な収入源は、爆破予告後に支払われた身代金でした。

最近の注目すべきセキュリティ問題

件名:Microsoft Netlogon の脆弱性を狙ったエクスプロイトコードが公開popup_icon
説明:セキュリティ研究者と政府機関は、重大な脆弱性を狙ったエクスプロイトコードに対して注意を促しています。これは「Zerologon」と呼ばれる脆弱性で、侵入先のネットワークに接続されたデバイス上で、細工されたアプリケーションを攻撃者が実行できる危険性があります。Microsoft 社は 8 月のセキュリティ更新プログラムで脆弱性をすでに公開しており、公開時点での CVSS スコアは 10 点中 10.0(最も緊急性が高い)です。同社は脆弱性に対する修正プログラムの第 2 段をリリースする予定としていますが、GitHub でのコンセプト実証はまだ始まったばかりです。
Snort SID55703、55704

件名:Trickbot と Emotet がスパムキャンペーンで連携popup_icon
説明:数か月間にわたる沈黙を破り、悪名高い Emotet ボットネットの活動が再び活発化しています。最近、複数のセキュリティ研究者が、今月初めから Emotet と Trickbot が連携してフィッシングキャンペーンを行っていたことを発見しました。攻撃者は Microsoft Word 形式の不正ドキュメントを送り付けます。本文の一部をぼかした上で、「ぼかされた重要事項を読むにはマクロを有効にする必要があります」という旨のメッセージを表示します。マクロを有効にすると不正コードによって Trickbot ローダがダウンロードされます。攻撃者は Trickbot ローダを使い他の悪意のある操作を実行できるようになります。
Snort SID55787、55788

今週最も多く見られたマルウェアファイル

SHA 25652c8cff981e5d541e4b2930a4a5e0b0a495d62c8237e91538d94c03a048dd51dpopup_icon
MD5bd4b03e6127a34ecab890f6eb1546634
VirusTotal
一般的なファイル名:wupxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::95.sbx.tg

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 25632155b070c7e1b9d6bdc021778c5129edfb9cf7e330b8f07bb140dedb5c9aae7popup_icon
MD573d1de319c7d61e0333471c82f2fc104
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:Win.Dropper.Segurazo::tpd

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:Tempmf582901854.exe
偽装名:なし
検出名:Win.Dropper.Agentwdcr :: 1201

SHA 25660b6d7664598e6a988d9389e6359838be966dfa54859d5cb1453cbc9b126ed7dpopup_icon
MD5bc26fd7a0b7fe005e116f5ff2227ea4d
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Dropper.Python::1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 9 月 24 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for Sept. 24, 2020popup_icon」の抄訳です。

 

コメントを書く