Talos 読者の皆様、こんにちは。
Talos の調査を記事で読むにせよ、ポッドキャストで視聴するにせよ、今週はよりどりみどりです。
『Beers with Talos』は先週 100 回目を迎えました。これを記念して、引退していた Nigel に復帰を打診し、Mighty Reds の最新情報と SolarWinds について語ってもらいました。過去 100 回の『Beers with Talos』エピソードの中で、一番のお気に入りはどれですか?Twitter で @TalosSecurity のタグをつけて投稿してください。
『Talos Takes』の最新エピソードも、Snort 3 を祝した特別回です。Nick Mavis が登場し、Snort 3 の進歩を振り返るとともに、Snort 3 にアップグレードするメリットについて語っています。
記事を読みたいという方は、Talos が最近確認したマルウェア「Masslogger」の変更点について詳しくまとめた記事があるので、ぜひご覧ください。Masslogger が攻撃対象のマシンにインストールされると、Microsoft Outlook や Google Chrome などの重要な場所からユーザのログイン情報が盗まれます。
今後予定されている Talos の公開イベント
イベント:Cisco Live 2021
開催日:3 月 30 日 〜 4 月 1 日
講演者:Nick Biasini、他(未定)
概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。
1 週間のサイバーセキュリティ概況
- フランス政府、「フランスの複数の企業や機関」が過去数年間、サイバー攻撃の標的になっていたと発表。国家が支援する攻撃者グループがあるフランスのソフトウェア企業を攻撃のターゲットにしました。同社の顧客には、エアバス社やフランス法務省などが名を連ねています。
- 先週発生したフロリダ州の町の上水道処理施設に対するサイバー攻撃が示唆する、水処理システム「SCADA」への攻撃者の関心の高まり。サイバーセキュリティのニーズに対する予算の不足や古いオペレーティングシステムの使用など、小規模な自治体が直面している問題が浮き彫りになりました。
- Microsoft 社、SolarWinds 社の製品を悪用したサプライチェーン攻撃に関連するコードの改変に関与した開発者が 1,000 人にのぼる可能性があると発表。同社の社長はまた、このキャンペーンを「これまでで最大規模の最も巧妙な攻撃」と評しています。
- ポーランドのビデオゲーム開発企業 CD Projekt Red のシステムを侵害した攻撃グループ、同社の一部のゲームのソースコードを闇サイトで販売したと声明を発表。同社が要求された身代金を支払わなかったため、盗んだデータを 700 万ドルで販売したと主張しています。
- バージニア州、包括的なデータプライバシー法を可決した米国で 2 番目の州に。本法律が施行されると、自分に関してどのような情報が収集されているかを個人が組織に問い合わせたり、パーソナライズされた広告ターゲティングをオプトアウトしたりすることが可能になります。
- 新型コロナウイルス感染症に関する偽情報を広めた最大の元凶は外国の議員、影響力のある組織、一部の独立した医師であるとの報道。主要な陰謀説の 1 つに、新型コロナウイルスが工場で製造されたという説があります。新たな調査により、この陰謀説を唱えたのは中国が最初だったことが判明しました。
- 米国バイデン政権、SolarWinds 社製品を利用したデータ侵害の調査が完了するまでにはまだ数か月かかる可能性があると指摘。今後このような攻撃を防ぐことを目的とした大統領令も検討しています。
- Apple 社の M1 プロセッサを主なターゲットとするマルウェアの開発が進行。セキュリティ研究者は最近、標準的なアドウェアのように見える悪意のある Safari 拡張機能を発見しました。今後機能が追加される可能性があります。
- 米国の法執行機関、大規模な暗号通貨窃盗計画に関与したとして複数の北朝鮮人を起訴。複数回にわたり、米国国防総省、国務省、米国の認可を受けた防衛関連企業の従業員などを狙ったスピアフィッシング攻撃を実行したということです。
最近の注目すべきセキュリティ問題
件名:長い間展開されてきたトロイの木馬が新たに Android デバイスを標的に
説明:LodaRAT の開発者グループが、Android プラットフォームを標的に加えました。Windows を標的とした LodaRAT の今回の開発サイクルで特徴的なのは、音声録音機能の強化です。この新しいマルウェアは、脅威ランドスケープでこれまで観察されてきたその他の Android ベースの RAT と同じ原則に従っています。Android バージョンに加え、Windows を標的とした Loda の新バージョンも、同じキャンペーン内で確認されています。新しいバージョンである Loda4Windows と Loda4Android の開発作業を行っているのが「Kasablanca」という同じグループであることは明らかです。LodaRAT の背後にいる攻撃者グループは、バングラデシュをターゲットとした特定のキャンペーンに関与していました。ただ、同キャンペーンでは他の攻撃者の関わりも確認されています。
Snort SID:53031
ClamAV シグネチャ:Win.Packed.LokiBot-6963314-0、Doc.Exploit.Cve_2017_11882-7570663-1、Doc.Downloader.Loda-7570590-0
件名:Accusoft ImageGear で任意コードを実行される脆弱性を発見
説明:Accusoft ImageGear には、リモートからコードを実行できる 2 件の脆弱性が存在します。ImageGear は、Accusoft 社が提供しているドキュメント/画像処理ライブリです。アプリケーションの開発に利用でき、ドキュメント/画像に関するライフサイクル全体の処理が含まれています。発見された脆弱性は、ドキュメント/画像処理開発ツールキットである Accusoft ImageGear ライブラリに存在します。攻撃者は、これらの脆弱性をエクスプロイトして境界外書き込みなどさまざまな状況を作り出すことで、最終的に任意のコードを実行することができます。攻撃のターゲットが細工されたファイルを開くと、この脆弱性がエクスプロイトされます。
Snort SID:43608、43609、56158 〜 56161、56365、56366、56451、56452
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:4647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57b
MD5:f37167c1e62e78b0a222b8cc18c20ba7
一般的なファイル名:flashhelperservice.exe
偽装名:Flash Helper Service
検出名:W32.4647F1A085.in12.Talos
SHA 256:23a80df363e2f5ec6594bf952db3569e7ca59d4163283f808753775c215dd652
MD5:259f42bd7d2f513c5c579d6554d9db66
一般的なファイル名:ethm2.exe
偽装名:なし
検出名:WinGoRanumBot::mURLin::W32.Auto:23a80df363.in03.Talos
SHA 256:1a8a17b615799f504d1e801b7b7f15476ee94d242affc103a4359c4eb5d9ad7f
MD5:88781be104a4dcb13846189a2b1ea055
一般的なファイル名:ActivityElement.dp
偽装名:なし
検出名:Win.Trojan.Generic::sso.talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 02 月 18 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 18, 2021)」の抄訳です。