Cisco Japan Blog

脅威情報ニュースレター(2021 年 3 月 18 日)

1 min read



Talos 読者の皆様、こんにちは。

今年も Snort スカラシップの応募時期がやってきましたpopup_icon。ぜひ、周りの方にもご紹介ください。今年はサイバーセキュリティなどの IT 関連分野を学んでいる大学生 2 名が対象で、奨学金は一人につき 1 万ドルです。4 月 1 日から受付を開始します。お早めに応募書類を準備しましょう。  

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

イベント:Android マルウェアの分析:トリアージからリバースエンジニアリングまでpopup_icon

開催日:4 月 7 日午前 11 時(米国東部時間)

講演者:Vitor Ventura

概要:Talos アウトリーチ担当の Vitor Ventura が、実際に確認した最新の Android マルウェアについて無料のウェビナーで解説します。マルウェアサンプルのいくつかをリバースエンジニアリングした結果と、安全対策について説明します。文字列の難読化解除から、適切なパッチ適用、コマンド & コントロール(C2)ビーコンの検索まで、あらゆる対策を取り上げます。

1 週間のサイバーセキュリティ概況

  • Microsoft Exchange Server のゼロデイ脆弱性popup_iconが公開された後、少なくとも 6 つの APT 攻撃グループによるエクスプロイトが発覚。驚くべき偶然の一致に過ぎない可能性もありますが、おそらく前代未聞のセキュリティイベントだろうと考えられます。
  • Microsoft 社、専任のセキュリティチームを持たない小規模企業や組織を支援するために、ワンクリックで脆弱性を修復できる PowerShell スクリプトpopup_iconをリリース。スクリプトを実行すると、サーバが影響を受けているかチェックできます。影響を受けている場合は、Microsoft Safety Scanner がダウンロードして実行され、攻撃に関連する Web シェルなどの不正スクリプトが削除されます。
  • 主要な上院委員会、SolarWinds サプライチェーン攻撃を調査するため公聴会を木曜日にも新たに開催popup_icon。今後同様の攻撃が起こるのを防ぐために連邦政府機関が実施している対策について、米国議会は具体的な調査を進めています。
  • 複数の米当局者、SolarWinds および Microsoft Exchange のインシデントを受けて、米国のサイバーセキュリティ インフラの大幅な変更popup_iconを推進。一部の計画では、民間のセキュリティ企業の参画が検討されています。
  • ロシアの偽情報拡散機関、西側企業が開発した新型コロナワクチンに対する不信感を広めようpopup_iconと画策。こうした攻撃集団から支援を受けている偽のオンラインニュースサイトでは、ワクチンの安全性について誤った主張を行う偽のニュース記事が公開されています。
  • イランとロシアの攻撃者、偽の情報や誤解を招く情報を広めて 2020 年の大統領選挙の結果を左右しようと画策popup_iconしたことが新たに機密解除されたレポートで判明。ただし、投票者の登録ファイルや投票数の改ざんを試みた外国の攻撃グループは存在しなかったということです。
  • 上述のレポートについて米国のジョー・バイデン大統領は、選挙干渉の「代償をロシア側が払う」popup_iconことになると発言。新たな制裁措置は、早ければ来週にも発動される可能性があります。
  • ヨーロッパの大型オフィスビルで発生した火災、複数の有名なハッカー集団の活動に影響popup_icon。Bahamut や OceanLotus などの攻撃者グループが、サーバなどの物理インフラを火災で失った可能性があります。
  • 新しい iOS リリースを分析した結果、Apple 社が機能アップデートとは別にセキュリティアップデートのリリースを開始するpopup_icon可能性が判明。iOS 14.5 ベータ版には、セキュリティアップデートのみをインストールするか、リリースすべてをインストールするかをユーザが選択できる設定が追加されています。

最近の注目すべきセキュリティ問題

件名:システムの完全制御を許しかねない脆弱性に関して、F5 社はパッチを適用するようユーザに勧告

説明:F5 Networks 社の BIG-IP および BIG-IQ アプリケーションには、システムの完全制御を許しかねない重大な脆弱性が複数存在します。同社は、できるだけ早くパッチを適用するようユーザに勧告しました。先週公開された複数の脆弱性がエクスプロイトされると、悪意のあるコードの実行、サービスの無効化、ファイルの操作、削除、作成などの不正操作につながる危険性があります。同社から開示された脆弱性は、緊急度「重大」が 4 件、「重要」が 7 件、「中」が 10 件です。BIG-IP および BIG-IQ は通常、ロードバランシング、アプリケーション セキュリティ、アクセス制御などのアプリケーション配信サービスの用途で導入されます。同社によると最悪のシナリオでは、BIG-IP アプライアンスの脆弱性がエクスプロイトされ、より広範なエンタープライズ ネットワークに侵入される危険性があります。

Snort SID57298

件名:Microsoft Exchange Server のゼロデイ脆弱性に関し、Talos から新たな発見と情報を公開

説明:Microsoft Exchange Server に存在する複数のゼロデイ脆弱性が Microsoft 社から公開された後、Cisco Talos では、この悪意のあるアクティビティに関連する戦術、手法、手順(TTP)の変化を確認しています。Talos の研究者は、これらの脆弱性をエクスプロイトするハッカー集団を新たに発見しました。最初のハッカー集団「Hafnium」とは別のグループと思われ、暗号通貨マイニングキャンペーンに使用されたインフラを利用しているグループや、notepad.exe や notepad++.exe を使用して Web シェルを作成したり、アクセスを試みているグループ、そしてエクスプロイトは成功していないものの、大量のスキャンを実施しているグループなどです。また、エクスプロイト後のアクティビティへの関与が疑われる組織も特定しました。被害状況の調査によると、エクスプロイトの影響が著しく大きいのは金融サービス業界です。他にもいくつかの業種への影響が目立っていて、医療機関、教育機関、地方自治体/政府も狙われています。

Snort SID57233 〜 57246、57251 〜 57253

ClamAV シグネチャ:

  • Trojan.MSExchangeExploit-9838898-0
  • Trojan.MSExchangeExploit-9838899-0
  • Trojan.MSExchangeExploit-9838900-0
  • Trojan.Webshell0321-9839392-0
  • Trojan.Webshelljs0321-9839431-0
  • Trojan.Webshell0321-9839771-0

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2565901ce0f36a875e03e4d5e13e728a2724b8eff3c61cc24eb810be3df7508997fpopup_icon

MD5b8a582da0ad22721a8f66db0a7845bed

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.Auto:5901ce0f36.in03.Talos

SHA 2564647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57bpopup_icon

MD5f37167c1e62e78b0a222b8cc18c20ba7

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.4647F1A085.in12.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 03 月 18 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 18, 2021)popup_icon」の抄訳です。

コメントを書く