Talos 読者の皆様、こんにちは。
今週の Talos ブログは話題を呼びました。Wi-Fi 対応エアフライヤで確認された脆弱性が面白おかしく拡散されたようです。この脆弱性がエクスプロイトされた場合、調理時間や温度設定が変更されるばかりか、本体の電源が勝手に入れられる危険性まであります。もっとも、攻撃者がフライヤに物理的にアクセスできるという条件付きですが。
今週は『Beers with Talos』ポッドキャストの最新エピソードも公開しています。特別ゲストを招き、セキュリティの観点から SCADA と IoT の現状
について取り上げています。大変興味深い内容になっていますのでお聴き逃しなく。
マルウェア関連では、Talos が「Fajan」と名付けたハッカー集団についての新たな調査報告を公開しました。同グループは、通信社である Bloomberg BNA 社を騙ったスパム電子メールを、主に中東のターゲットに送信しています。
1 週間のサイバーセキュリティ概況
- 2,100 万人以上の ParkMobile アプリユーザがデータ侵害の被害に。ユーザのナンバープレート番号、氏名、電子メールなどの情報が盗み出されました。同アプリは米国の多くの主要都市で駐車料金の支払いに使用されています。
- 世界で最も人気のあるセキュリティカンファレンスである「Def Con」と「Black Hat」、今年の夏は対面で開催予定。昨年はコロナ禍の影響で、完全オンラインで開催されました。
- 中国が世界最大のデータ収集国の一角に。反面、中国国民に関する情報を盗んで転売を企てる国内の攻撃者に門戸が開かれてしまったことも確かです。
- Apple 社の大規模プレゼンの数時間前に、同社を脅迫しようとするランサムウェア攻撃が発生。攻撃を仕掛けた REvil グループは、当日発表が予定されていた製品の設計図とデザインを公開すると同社を脅しました。
- Apple 社の主要サプライヤの一社である Quanta 社、攻撃の被害に遭っていたことを公表。同社は「少数の Quanta サーバがサイバー攻撃を受けた」と発表しました。
- ホワイトハウスが今週、電力インフラのセキュリティ改善のために設けた新しいイニシアチブを発表。これを受け、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁も「60-day sprint」という取り組みを開始しました。
- 200 件を超えるサイバー攻撃に中国政府が支援する攻撃者が関与しているとして、日本政府が中国を非難。調査関係者によれば、中国人民解放軍の指示を受けた「Tick」と呼ばれる実行グループが攻撃の背後にいます。
- Prometei ボットネットが攻撃対象を変更、最近公開された脆弱性に対するパッチを適用していない Microsoft Exchange Server が新たな標的に。Prometei はもともと、暗号通貨マイニングのマルウェア拡散で知られるボットネットです。
- 裁判所の命令なしに連邦政府機関が個人情報を収集することを防止する法案が連邦議会に新たに提出。
- 米国司法省、ランサムウェアの拡散を減らすための新たな調査委員会を発足。司法省の内部メモによると、2020 年はランサムウェア攻撃の「最悪の年」とされています。
最近の注目すべきセキュリティ問題
件名:ロシア政府支援の攻撃者により脆弱性がエクスプロイトされた種々の攻撃について、米国が非難
説明:米国国家安全保障局がアドバイザリを公開し、ロシア対外情報庁(SVR)が実際にエクスプロイトした複数の脆弱性について概説しています。このアドバイザリは、最近の SolarWinds サプライチェーン攻撃に対する SVR のグループの関与を公式に表明するものであり、その戦術、手法、手順の詳細が明らかにされています。攻撃では、VPN ソリューション、コラボレーション ソフトウェア スイート、仮想化テクノロジーに影響を与える 5 件の脆弱性(CVE)がエクスプロイトされていました。いずれの脆弱性も、すでに修正プログラムが提供されています。影響を受けるソフトウェアをお使いの場合は、すぐにアップデートするようお勧めします。すでに多くのエクスプロイトが確認されている、Metasploit モジュールに関連する脆弱性も含まれています。さらに、SSL を使用するアプリケーションがエクスプロイトされる脆弱性もあります。
Snort SID:49898、52512、52513、52603、52620、52662、51370 ~ 51372、51288 ~ 51390
件名:Google Chrome V8 エンジンのエクスプロイトが発生
説明:Google は先週、V8 エンジンに複数のゼロデイ脆弱性が発見されたことを受けて、Chrome Web ブラウザ向けのアップデートを複数公開しました。アップデートの中で、V8 と Chrome のレンダリングエンジン Blink の脆弱性が実際にエクスプロイトされていることが明らかにされました。あるセキュリティ研究者による概念実証コードによると、HTML ファイルと JavaScript ファイルを使用した攻撃によって、Chromium ベースのブラウザにロードされた Windows 10 で電卓アプリケーションが起動される可能性があります。このほか、別のタイプのコード実行など、より広範囲に及ぶ影響が確認されています。
Snort SID:57420 〜 57424
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:bfbe7022a48c6bbcddfcbf906ef9fddc02d447848579d7e5ce96c7c64fe34208
MD5:84291afce6e5cfd615b1351178d51738
一般的なファイル名:webnavigatorbrowser.exe
偽装名:WebNavigatorBrowser
検出名:W32.BFBE7022A4.5A6DF6a61.auto.Talos
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:svchost.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:17c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2
MD5:96f8e4e2d643568cf242ff40d537cd85
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.File.Segurazo::95.sbx.tg
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 04 月 22 日に Talos Group
Authors