Cisco Japan Blog

脅威情報ニュースレター(2021 年 8 月 5 日)

1 min read



Talos 読者の皆様、こんにちは。

今週は、Black Hat や DEFCON が開催されています。リモート参加でも直接参加でも、お楽しみいただけているのではないでしょうか。Black Hat での Talos の講演を見逃した方は、こちらpopup_iconでご覧いただけます。Cisco Secure のメンバーの講演もあります。

また、もっと Talos の話を聴きたいという方は、今週公開された『Beers with Talos』の新エピソードpopup_iconをお聴きください。Kaseya 社に対するサプライチェーン インシデントと、それに続いて発生したランサムウェア攻撃について振り返っています。

今後予定されている Talos の公開イベント

Technado ポッドキャストに CTIR が登場popup_icon

講演者:Chris DiSalle

開催日:9 月 9 日

場所:バーチャル

説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • サイバー攻撃によりイタリアで人気の新型コロナワクチン登録 Web サイトが一時遮断popup_icon。イタリア政府関係者は、当局に対するこれまでで最も深刻なサイバー攻撃だったとしています。
  • 米国連邦政府が数百万ドル相当の暗号通貨を押収popup_icon、サイバー犯罪者を妨害し脱税者を逮捕。政府はさらに仮想通貨の保管と販売を担っている民間企業の協力も求めています。
  • 今年初めに脆弱性が話題になった Microsoft Exchange Server、数ヵ月以上もサイバー攻撃の標的になっていたことが判明popup_icon。セキュリティ研究者は最近、攻撃者が Exchange Server を攻撃して盗み出していた大量のデータを発見しました。このときの攻撃は、今年の大規模攻撃の前兆だった可能性があります。
  • 最近の上院報告で、米国連邦政府機関のサイバーセキュリティが低評価を受けるpopup_icon。報告の一環として調査を受けた 8 機関のうち「B」評価を獲得したのは 1 機関だけで、4 機関は「D」評価でした。
  • TikTok、初開催のS. Cyber Games に参入popup_icon。大会は年間を通して開催され、米国のセキュリティ研究者らが参加、セキュリティの脆弱性を探します。12 月に開催される最終決戦の舞台、第 1 回 International Cybersecurity Challenge(ICC)で他国の研究者と対決します。
  • スパイウェア Pegasuspopup_icon の広範な使用状況に関する調査が継続。フランスの調査機関は最近、同国のジャーナリスト 3 人のスマートフォンに Pegasus が知らぬ間にインストールされていたことを確認しました。このうちの 1 人は国際的なテレビ局に勤務していました。
  • SolarWinds 攻撃を大規模展開していたハッカー集団、多数の著名な米国検察官の電子メールアカウントを侵害popup_icon。電子メールには「非常に機密性が高く、多くの場合非公開の情報」が含まれていました。
  • 物議を醸した PunkSpider ツール、今週の Black Hat カンファレンスで復活popup_icon。このソフトウェアを正しく使用すれば、Web サイトの脆弱性をスキャンし、エクスプロイトされる前に修正できるようになります。
  • Black Hat のプレゼンテーションで、大規模なホテル全体のスマートデバイスを制御popup_iconできることをセキュリティ研究者が発表。スマートデバイスをすべて同じネットワークに接続しておく危険性がよくわかる事例です。

最近の注目すべきセキュリティ問題

件名:銀河にちなんだ名前のモジュールを使用する Solarmarker に新たな動き

説明:Cisco Talos は、高度にモジュール化された .NET ベースの情報窃取プログラムでありキーロガーでもある Solarmarker の新たなアクティビティを確認しました。以前は侵入の足掛かりとして「d.m」というモジュールが使用されていましたが、これに代わる新しいモジュール「Mars」が登場しました。これまで報告例がなかった「Uranus」というモジュールも確認されています。組織がこのマルウェアファミリについて特に注意すべき点は、モジュール性と情報窃取機能です。侵入の足掛かりとなる DLL を使用すれば、その後、任意のペイロードモジュールを実行できます。こうしたモジュールの中には、これまで確認されたことのないものもありました。これまでに確認されたモジュールによって、クレジットカード番号などの個人情報を入力した場合などに機密情報(従業員のブラウザの使用状況も含む)が盗み出される可能性があります。盗み出されたログイン情報が、他のシステムへのラテラルムーブメントに使用されたり、顧客データベースや患者の医療情報データベースなど、攻撃者にとってより魅力的なデータへのアクセスや窃取に利用されたりする危険性もあります。

Snort SID57973、57974

件名:Microsoft 社、NTLM リレー攻撃を警告

説明:Microsoft 社は先週、最近発見された NTLM リレー攻撃への対応策を記載したアドバイザリをリリースしました。NTLM 認証と Active Directory 証明書サービスを有効にしているサーバが「PetitPotam」というツールの影響を受けます。攻撃者がこのツールを使用して MS-EFSRPC(Encrypting File System Remote Protocol)をエクスプロイトし、別のサーバを認証する危険性があります。攻撃を実行するにあたって、事前の認証は不要です。Microsoft 社の研究者をはじめとするセキュリティ研究者は、ドメインコントローラで NTLM 認証を無効にすることを推奨しています。すべての AD CS サーバで NTLM 認証と「NTLM for IIS」を無効にする方法もあります。

参考資料:https://duo.com/decipher/microsoft-issue-guidance-for-mitigating-petitpotam-ntlm-relay-attack popup_icon

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429 popup_icon

Snort SID57965、57966

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon 

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon  

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256e3eeaee0af4b549eae4447fa20cfe205e8d56beecf43cf14a11bf3e86ae6e8bdpopup_icon 

MD58193b63313019b614d5be721c538486b

一般的なファイル名:SAService.exe

偽装名:SAService

検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg

SHA 2567820c5e3fbad356d9a8333ff731b04a4a3dd6e41cfc37be90b4e638fa1a6551epopup_icon

MD54891c7b054453b3e1b0950bb8e645b9c

一般的なファイル名:FlashHelperService.exe

偽装名:Flash Helper Service

検出名:PUA:2144FlashPlayer-tpd

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 08 月 05 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Aug. 5, 2021)popup_icon」の抄訳です。

コメントを書く