Cisco Japan Blog

脅威情報ニュースレター(2021 年 1 月 21 日)

1 min read



 

Talos 読者の皆様、こんにちは。

今週は、ワシントン DC 以外での出来事に目を向けるのは難しいでしょう。しかし、Snort 3 GA が正式にリリースされたというビッグニュースをお伝えしないわけにはいきません。文字どおり何年もの時間をかけて行われた今回のアップデートでは、Snort のパフォーマンスとカスタマイズレベルが大幅にアップグレードされています。火曜日の発表記事はこちらpopup_iconからご覧いただけます。正式版のダウンロードやその他のリソースについては、Snort 3 のハブページpopup_iconをご覧ください。 

Talos では、さまざまな職種の求人を行っています。採用情報ページpopup_iconをブックマークして、新しい求人情報が掲載されていないかを随時ご確認ください。現在、セキュリティエキスパートを数名募集中です。

今後予定されている Talos の公開イベント

件名:「クライムウェアの武装競争:最新のマルウェア武装化技術と検出回避技術」 popup_icon

イベント:CactusCon

開催日:2 月 6 〜 7 日

講演者:Edmund Brumaghin、Nick Biasini

概要:近年、実際のインシデントで見つかるマルウェアサンプルの数が爆発的に増加しているため、自動分析プラットフォームの開発に多大な労力が費やされています。これらのプラットフォームは通常、制御された環境でファイルを実行し、その動作を観察して、ファイルが無害か有害かを判断します。こうした技術の利用が増えるにつれて、攻撃者は自動分析を回避して検出を逃れる技術の開発に多くのリソースを投入しています。また、マルウェアの開発者は、分析を困難にするためのさまざまな手法も導入し続けています。最近のボットネットは、セキュリティ機関や法執行機関による介入に対して復元力を高めるために、新たな手法をインフラストラクチャに導入し始めています。このプレゼンテーションでは、分析と検出を回避するために攻撃者が使用している最新技術について説明します。また、セキュリティ業界や法執行機関による介入に対して耐性のある C2 通信チャネルを確立するために攻撃者が使用している新技術についても説明します。具体例を取り上げ、これらの技術が利用されているケースを詳細に分析し、それらの技術に対する効果的な防御方法について説明します。

1 週間のサイバーセキュリティ概況

最近の注目すべきセキュリティ問題

タイトル:クウェートの組織を標的とする BumbleBee ツールを使用した攻撃が発生popup_icon

説明:最近、「BumbleBee」と呼ばれる Webshell が Microsoft Exchange サーバに対するスパイ活動に使用されているという報告が複数の研究者から寄せられています。これまでに影響を受けた組織はすべてクウェートに拠点を置いています。9 月には、標的となった Exchange サーバ上でファイルのアップロードとダウンロードが BumbleBee を使用して行われていたことが確認されています。研究者によると、このキャンペーンの陰にいる攻撃者グループは xHunt であり、BumbleBee を使用してコマンドの実行とファイルのアップロード/ダウンロードを行っています。BumbleBee は、xHunt が新たな武器として採用した最新のツールです。このグループは、少なくとも 2018 年から存在しており、これまでクウェートの組織や政府機関を標的とし、特に輸送セクターや貿易セクターを攻撃してきました。

Snort SID56887 〜 56890

タイトル:シスコが脆弱性公開後に新しいルータへの更新を推奨 popup_icon

説明:先週、シスコは、RV シリーズ ワイヤレスルータの一部で発見された 74 件の脆弱性を公開し、パッチを適用するのではなく新しいハードウェアを購入するようユーザに呼びかけました。これらの脆弱性はすべて、すでにサポートが終了している製品に存在しています。影響を受けるデバイスは、Cisco Small Business RV110W、RV130、RV130W、RV215W システムなどで、これらはすべて、ファイアウォール、VPN、または標準ルータとして使用できます。いずれの脆弱性も、標的デバイスのログイン情報を持っていなければ利用できないため、簡単にエクスプロイトされることはありません。そのため、新しい機器へアップグレードせずに済む可能性も残されています。

Snort SID56839 〜 56845、56866 〜 56876、56893、56894

今週最も多く見られたマルウェアファイル

SHA 2568cb8e8c9fafa230ecf2f9513117f7679409e6fd5a94de383a8bc49fb9cdd1ba4popup_icon

MD5176e303bd1072273689db542a7379ea9

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:W32.Variant.24cl.1201

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:santivirusservice.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

 SHA 2566fdfcd051075383b28f5e7833fde1bb7371192f54e381c8bdfa8e68269e3dc30popup_icon

MD50083bc511149ebc16109025b8b3714d7

一般的なファイル名:webnavigatorbrowser.exe

偽装名:WebNavigatorBrowser

検出名:W32.6FDFCD0510-100.SBX.VIOC

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 01 月 21 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Jan. 21, 2021)popup_icon」の抄訳です。

コメントを書く