Cisco Japan Blog

脅威情報ニュースレター(2020 年 11 月 19 日)

1 min read



 

ご存じない方もいらっしゃるかもしれませんが、どういった経緯なのか、今週、Snort がネットの流行語になるpopup_iconという愉快な出来事がありました。 

 

2020 年も、「ようやく」と言うべきか「もう」と言うべきか、年の瀬を迎えようとしています。そこで、本年のマルウェアを振り返ってみることにしましょう。何年も前から蔓延している Emotet ですが、今年は興味深い動向を見せました。夏に活動を事実上休止した後、ここ数ヵ月の間に再開したのです。そこで Cisco Talos は、Emotet で利用されていたいくつかのコマンドアンドコントロール(C2)ドメインの所有権を取得popup_iconし、傾向と最近の変化を検証しました。

 

また、ランサムウェア Nibiru 用の新しいデクリプタツールもリリースしました。Nibiru の被害を受けた場合は、このツールを使って暗号化されたファイルを安全に復号できます。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

件名:リモートからコードを実行されるおそれのあるエクスプロイトが Cisco Security Manager に存在

説明:シスコは、自社製のソフトウェアである Cisco Security Manager に 3 件の深刻な脆弱性が存在することを開示し、即時のパッチ適用をユーザに促しました。これらの脆弱性が利用されると、標的となった被害者のデバイス上で、ログイン情報がなくても任意のコードが実行され、ファイルをダウンロードされるおそれがあります。脆弱性の重大度は、1 件が「重大」、その他は「高」となっています。これらの脆弱性は、Cisco Security Manager リリース 4.22 およびそれ以前のリリースに影響します。

参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD

 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

Snort SID56408 – 56423

 

件名:Pixar OpenUSD の脆弱性が macOS の一部バージョンに影響popup_icon

説明:Pixar OpenUSD には脆弱性が複数存在していて、エクスプロイトされると、悪意のあるさまざまなアクションを実行されるおそれがあります。Pixar 社は、多要素で構成される任意の 3D シーンの入れ替えといった、いくつかのタイプのアニメーション制作工程にこのソフトウェアを使用しています。アニメーション制作スタジオを対象とする同ソフトウェアは、デジタルアニメーション制作プロセスのさまざまな側面をつなぐパイプラインとして、拡張性と高速性に特化して設計されています。ほとんどの用途では、処理対象の入力が信頼できるものであることが前提となっています。macOS のデフォルトでは、USD ファイル形式について、Quick Look を通じてサムネイルとプレビューハンドラの両方が登録されています。USD ファイルを開くためのデフォルトアプリケーションは、「プレビュー」アプリケーションです。iOS の場合は AR アプリケーションがデフォルトハンドラになります。USD ファイルは Web ページに埋め込むことやメッセージで送信することができ、ファイルをクリックすると AR アプリケーションが開かれます。したがって、一部の Mac オペレーティングシステムは、これらのバグに対して脆弱な状態となっています。

Snort SID54415, 54416, 54467 – 54472, 54488 – 54493, 54922, 54923

 

今週最も多く見られたマルウェアファイル

SHA 256432FC2E3580E818FD315583527AE43A729586AF5EE37F99F04B562D1EFF2A1FDpopup_icon

MD5dd726d5e223ca762dc2772f40cb921d3

一般的なファイル名:ww24.exe

偽装名:なし

検出名:W32.TR:Attribute.23ln.1201

 

SHA 256F059A5358C24CC362C2F74B362C75E02035FDF82F9FFAE8D553AFEE1A271AFD0popup_icon

MD5ce4395edbbf9869a5e276781af2e0fb5

一般的なファイル名:wupxarch635.exe

偽装名:なし

検出名:W32.Auto:f059a5358c.in03.Talos

 

SHA 25685B936960FBE5100C170B777E1647CE9F0F01E3AB9742DFC23F37CB0825B30B5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:Eternalblue-2.2.0.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 256100318042c011363a98f82516b48c09bbcdd016aec557b009c3dd9c17eed0584popup_icon

MD5920823d1c5cb5ce57a7c69c42b60959c

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Variant.23mj.1201

 

SHA 256C3E530CC005583B47322B6649DDC0DAB1B64BCF22B124A492606763C52FB048Fpopup_icon

MD5e2ea315d9a83e7577053f52c974f6a5a

一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin

偽装名:なし

検出名:Win.Dropper.Agentwdcr :: 1201

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 11 月 19 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Nov. 19, 2020)popup_icon」の抄訳です。

 

コメントを書く