Cisco Japan Blog

脅威情報ニュースレター(2021 年 3 月 4 日)

1 min read



 

まずは今週初めに公開された Microsoft Exchange Server のゼロデイ攻撃に対する脆弱性について取り上げたいと思います。攻撃者がこの脆弱性をエクスプロイトしてユーザの電子メールを盗み出していると Microsoft 社が発表したことを受け、セキュリティコミュニティに波紋が広がりました。 

幸い、この脆弱性に対するパッチはすでに公開されています。シスコでも、SNORT® ルールpopup_iconを作成し、Talos のブロックリストと Cisco Secure Endpoint に追加するなど、Cisco Secure 製品全体を対象にpopup_iconユーザの保護を強化しています。

マルウェアの分野では他にも、ObliqueRAT の新種が確認されており、Talos が追跡を続けています。この新たなキャンペーンは、更新されたマクロコードを使用し、ペイロードをダウンロードして展開します。さらに、感染チェーンも更新され、攻撃者が自ら制御する Web サイトを介して ObliqueRAT を配信しています。

今週は他にも注意が必要な脆弱性が公開されています。詳しくは、WebKitEpignosis eFrontAccusoft ImageGear に関する『注目の脆弱性』の記事をご覧ください。

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

1 週間のサイバーセキュリティ概況

  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁、Microsoft Exchange の脆弱性を踏まえて緊急指令を発令し、すべての政府機関に対して直ちに対処することを求める。同庁は、ネットワークアクティビティ、システムメモリ、ログ、Windows のイベントログ、レジストリレコードをトリアージし、不審な動作を検出するよう政府機関に求めています。
  • 先週、SolarWinds 社のセキュリティインシデントがごく基本的なパスワードの漏洩から始まったという噂が広まる。これについて同社は、パスワードのインシデントと広範なセキュリティ侵害との関連性はないと発表しています。
  • 証券取引委員会、司法省、州検事総長などの複数の政府機関、SolarWinds 社製品の侵害に関して独自の調査を開始popup_icon
  • 米連邦捜査局(FBI)、暗号化技術に対する懸念を改めて表明popup_iconし、法執行機関による個人情報へのアクセスの確保を議会に要請。FBI のクリストファー・レイ長官は、1 月に発生した連邦議会議事堂での暴動と議員に対する暴力行為の呼びかけについて触れ、再発を防止する上で非常に重要な措置だと発言しました。
  • オックスフォード大学の生物学研究施設、何者かが生物学的製剤の機器にアクセスするなど、セキュリティ侵害の被害を受けたことpopup_iconを発表。同研究施設は、新型コロナウイルス感染症のワクチン研究と治療に関する世界有数の拠点の 1 つです。
  • 急成長中のソーシャルメディアアプリ Clubhouse に、セキュリティに関する複数の懸念が浮上。セキュリティ研究者によると、権限のない攻撃者がルームのボイスチャットを記録できるとのことです。また、ユーザの個人情報の流出につながる脆弱性も存在すると指摘されています。
  • 学校や病院のシステムに対するランサムウェア攻撃の件数が 2021 年 1 月に大幅に減少popup_icon。昨年のコロナ禍において、学校や病院といった非常に脆弱な標的に対する攻撃がかつてなく増えたことの反動によるものと考えられます。
  • 右派ユーザに人気のチャットアプリ Gab、データ漏洩の被害を受け、15,000 を超えるアカウントのチャット履歴の一部がネットに投稿されるpopup_icon。Gab の創設者は、被害を受けたアカウントにはトランプ元米国大統領のアカウントも含まれていたと述べています。
  • Google、ユーザ個人の閲覧履歴に基づく広告の販売停止popup_iconを今週発表。同社は今後、匿名化した大きなグループに分けて消費者を追跡し、その上で得た情報に基づいて広告を配信する計画です。

最近の注目すべきセキュリティ問題

件名:長期にわたって攻撃に使用されてきたトロイの木馬が、南アジアのユーザを標的にした新たなキャンペーンで使用される

説明:Cisco Talos が「ObliqueRAT」と名付けた、リモートアクセス型トロイの木馬(RAT)を拡散させる攻撃が最近確認されています。2019 年 12 月以降に拡散されている別種の RAT、CrimsonRAT と ObliqueRAT の関連性もすでに判明済みです。この 2 つのマルウェアファミリは類似した不正ドキュメントとマクロを使用しています。ただし今回発見されたキャンペーンでは、ObliqueRAT ペイロードをダウンロードして展開するために、まったく異なるマクロコードが使用されています。さらに、感染チェーンも更新され、攻撃者が自ら制御する Web サイトを介して ObliqueRAT を配信しています。今回のキャンペーンは、過去の攻撃発覚を受け、攻撃者が感染チェーンを進化させて検出を回避しようとする典型的な事例の 1 つです。さらに ObliqueRAT ペイロードの変更で目立つのは、従来からあるシグネチャベースの脅威検出メカニズムを回避するために難読化技術が使用されている点です。

Snort SID57168 〜 57175

ClamAV シグネチャ:Doc.Downloader.ObliqueRAT-9835361-0

 

件名:シスコが「緊急」に分類される 3 件の脆弱性を公開popup_icon

説明:シスコは先週、ハイエンドのソフトウェアシステムに 3 件の脆弱性を発見し「緊急」に分類しました。すでにパッチが配布されています。このうち 2 件は Cisco Application Services Engine に影響を及ぼし、もう 1 件の脆弱性は NX-OS オペレーティングシステムに存在します。この中で最も重大な脆弱性の CVSS スコアは 10 点満点中 10 点となっています 。シスコのアドバイザリによると、攻撃者はこの脆弱性をエクスプロイトし、管理者レベルの権限を持つトークンを受け取ることで、標的のデバイスの認証をバイパスする可能性があります。続いて攻撃者は標的のデバイスの API に対して認証を実行する危険性があります。

Snort SID57222、57223

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

 

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

 

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAntivirusService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

 

SHA 2564647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57bpopup_icon

MD5f37167c1e62e78b0a222b8cc18c20ba7

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.4647F1A085.in12.Talos

 

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 03 月 04 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 4, 2021)popup_icon」の抄訳です。

 

コメントを書く