Talos 読者の皆様、こんにちは。
今週は、Black Hat や DEFCON が開催されています。リモート参加でも直接参加でも、お楽しみいただけているのではないでしょうか。Black Hat での Talos の講演を見逃した方は、こちらでご覧いただけます。Cisco Secure のメンバーの講演もあります。
また、もっと Talos の話を聴きたいという方は、今週公開された『Beers with Talos』の新エピソードをお聴きください。Kaseya 社に対するサプライチェーン インシデントと、それに続いて発生したランサムウェア攻撃について振り返っています。
今後予定されている Talos の公開イベント
講演者:Chris DiSalle
開催日:9 月 9 日
場所:バーチャル
説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- サイバー攻撃によりイタリアで人気の新型コロナワクチン登録 Web サイトが一時遮断。イタリア政府関係者は、当局に対するこれまでで最も深刻なサイバー攻撃だったとしています。
- 米国連邦政府が数百万ドル相当の暗号通貨を押収、サイバー犯罪者を妨害し脱税者を逮捕。政府はさらに仮想通貨の保管と販売を担っている民間企業の協力も求めています。
- 今年初めに脆弱性が話題になった Microsoft Exchange Server、数ヵ月以上もサイバー攻撃の標的になっていたことが判明。セキュリティ研究者は最近、攻撃者が Exchange Server を攻撃して盗み出していた大量のデータを発見しました。このときの攻撃は、今年の大規模攻撃の前兆だった可能性があります。
- 最近の上院報告で、米国連邦政府機関のサイバーセキュリティが低評価を受ける。報告の一環として調査を受けた 8 機関のうち「B」評価を獲得したのは 1 機関だけで、4 機関は「D」評価でした。
- TikTok、初開催のS. Cyber Games に参入。大会は年間を通して開催され、米国のセキュリティ研究者らが参加、セキュリティの脆弱性を探します。12 月に開催される最終決戦の舞台、第 1 回 International Cybersecurity Challenge(ICC)で他国の研究者と対決します。
- スパイウェア Pegasus の広範な使用状況に関する調査が継続。フランスの調査機関は最近、同国のジャーナリスト 3 人のスマートフォンに Pegasus が知らぬ間にインストールされていたことを確認しました。このうちの 1 人は国際的なテレビ局に勤務していました。
- SolarWinds 攻撃を大規模展開していたハッカー集団、多数の著名な米国検察官の電子メールアカウントを侵害。電子メールには「非常に機密性が高く、多くの場合非公開の情報」が含まれていました。
- 物議を醸した PunkSpider ツール、今週の Black Hat カンファレンスで復活。このソフトウェアを正しく使用すれば、Web サイトの脆弱性をスキャンし、エクスプロイトされる前に修正できるようになります。
- Black Hat のプレゼンテーションで、大規模なホテル全体のスマートデバイスを制御できることをセキュリティ研究者が発表。スマートデバイスをすべて同じネットワークに接続しておく危険性がよくわかる事例です。
最近の注目すべきセキュリティ問題
件名:銀河にちなんだ名前のモジュールを使用する Solarmarker に新たな動き
説明:Cisco Talos は、高度にモジュール化された .NET ベースの情報窃取プログラムでありキーロガーでもある Solarmarker の新たなアクティビティを確認しました。以前は侵入の足掛かりとして「d.m」というモジュールが使用されていましたが、これに代わる新しいモジュール「Mars」が登場しました。これまで報告例がなかった「Uranus」というモジュールも確認されています。組織がこのマルウェアファミリについて特に注意すべき点は、モジュール性と情報窃取機能です。侵入の足掛かりとなる DLL を使用すれば、その後、任意のペイロードモジュールを実行できます。こうしたモジュールの中には、これまで確認されたことのないものもありました。これまでに確認されたモジュールによって、クレジットカード番号などの個人情報を入力した場合などに機密情報(従業員のブラウザの使用状況も含む)が盗み出される可能性があります。盗み出されたログイン情報が、他のシステムへのラテラルムーブメントに使用されたり、顧客データベースや患者の医療情報データベースなど、攻撃者にとってより魅力的なデータへのアクセスや窃取に利用されたりする危険性もあります。
Snort SID:57973、57974
件名:Microsoft 社、NTLM リレー攻撃を警告
説明:Microsoft 社は先週、最近発見された NTLM リレー攻撃への対応策を記載したアドバイザリをリリースしました。NTLM 認証と Active Directory 証明書サービスを有効にしているサーバが「PetitPotam」というツールの影響を受けます。攻撃者がこのツールを使用して MS-EFSRPC(Encrypting File System Remote Protocol)をエクスプロイトし、別のサーバを認証する危険性があります。攻撃を実行するにあたって、事前の認証は不要です。Microsoft 社の研究者をはじめとするセキュリティ研究者は、ドメインコントローラで NTLM 認証を無効にすることを推奨しています。すべての AD CS サーバで NTLM 認証と「NTLM for IIS」を無効にする方法もあります。
参考資料:https://duo.com/decipher/microsoft-issue-guidance-for-mitigating-petitpotam-ntlm-relay-attack
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
Snort SID:57965、57966
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bd
MD5:8193b63313019b614d5be721c538486b
一般的なファイル名:SAService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:7820c5e3fbad356d9a8333ff731b04a4a3dd6e41cfc37be90b4e638fa1a6551e
MD5:4891c7b054453b3e1b0950bb8e645b9c
一般的なファイル名:FlashHelperService.exe
偽装名:Flash Helper Service
検出名:PUA:2144FlashPlayer-tpd
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 08 月 05 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 5, 2021)」の抄訳です。