Cisco Japan Blog

脅威情報ニュースレター(2021 年 8 月 12 日)

1 min read



Talos 読者の皆様、こんにちは。

今回取り上げるのは RAT です。と言っても、『レミーのおいしいレストラン』の主人公のネズミではなく、ServHelper の話です。アニメのシェフはかわいらしいものですが、このマルウェアははるかに危険な存在です。本日、この RAT の詳細について記した新しいブログ記事を公開しています。サイバー犯罪グループ TA505 が展開しており、クレジットカードデータをはじめとする機密情報を盗み出します。Talos はこのグループをしばらくの間追跡してきましたが、最近活動が急増しているのを確認しました。これが組織にとってどのような意味を持つかについては、公開したブログ記事と別途まとめた 1 ページの概要資料をご覧ください。

もちろん、さらに憂慮すべき脅威は他にも多々存在します。Talos インシデント対応四半期脅威レポートでは、インシデント対応担当者が実際に確認した上位の TTP、マルウェアファミリ、攻撃者をご確認いただけます。

レポートで取り上げている脅威だけでも十分怖いのですが、これだけではありません。Microsoft 社のセキュリティ更新プログラム(月例)が公開されたら、同社製品をできるだけ早く更新する必要があります。Microsoft 社は今月、月例のセキュリティ更新プログラムの一環として 44 件の脆弱性を公開しました。その中には、重大度スコアが 10 点中 9.8 点の脆弱性が 2 件含まれています。

今後予定されている Talos の公開イベント

Technado ポッドキャストに CTIR が登場popup_icon

講演者:Chris DiSalle

開催日:9 月 9 日

場所:バーチャル

説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。

ワークショップ:Analysing Android malware at VirusBulletin localhost 2021popup_icon

講演者:Vitor Ventura

開催日:10 月 7 日 〜 8 日

場所:バーチャル

概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。

1 週間のサイバーセキュリティ概況

  • 国際的なコンサルティング会社 Accenture、今週 LockBit ランサムウェア攻撃を受けたpopup_iconと発表。同社はバックアップを使用して迅速に復旧しましたが、LockBit 攻撃を実行しているグループは、盗んだデータベースの一部をダーク Web サイトで販売していると主張しています。
  • 今回の攻撃の数日前、オーストラリア政府が LockBit 攻撃の増加を注視しているpopup_iconと企業に警告。オーストラリア サイバー セキュリティ センターはアドバイザリを発表し、LockBit が「プロフェッショナルサービス、建設、製造、小売、食品などさまざまな分野」を標的としていることに言及していました。
  • 米国上院で今週可決された大規模なインフラ支出法案、サイバーセキュリティ向けに 19 億ドルを盛り込むpopup_icon。この中には、サイバーセキュリティ強化を図っている小規模な行政機関(主に農村部のコミュニティ)に対して連邦政府から拠出される巨額の割り当て金が含まれています。
  • Conti ランサムウェアネットワークのメンバー、報酬不足を訴え、同マルウェアグループのプレイブックをリークpopup_icon。このプレイブックには、同グループの Cobalt Strike ビーコンやよく使用される一連のツールに関する情報が含まれています。
  • 最近発見された Cobalt Strike の脆弱性popup_iconにより、攻撃者が制御するボットネットを侵害できる可能性あり。Cobalt Strike は正当な目的で作成されたツールですが、攻撃者は通常悪意のある目的で使用しています。
  • 新型コロナウイルスワクチンの接種を求める雇用主、娯楽施設、大学の増加に伴い、偽造ワクチンカード市場が拡大popup_icon。当然のことながら、こうしたサービスの多くにはまた別の詐欺が絡んでいます。
  • Adobe 社が e-コマースプラットフォーム Magneto の 26 件の脆弱性にパッチを適用popup_icon、大半を「緊急」の脆弱性と評価。多くの Magneto ユーザが、Magecart カードスキミングマルウェアの標的になっています。
  • Apple 社が新たな取り組みを発表、iCloud アカウントのスキャンによる児童虐待画像の検出popup_iconを図る。これを受け、ユーザのプライベートな写真や動画を同社が確認できてしまう点についてセキュリティの支持者らが懸念を表明しています。
  • 暗号通貨プラットフォーム Poly Network から 6 億ドル相当の仮想通貨が流出popup_icon、「Dear Hacker」で始まる同社がハッカーに向けたメッセージがネット上で話題に。一部の被害者も、ハッカーに直接連絡して一部の金銭の払い戻しを求めました。

最近の注目すべきセキュリティ問題

件名:Microsoft 社がセキュリティ更新プログラムの一環として 44 件の脆弱性を公表、過去 2 年間で最少

説明:Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のファームウェアとソフトウェアで確認された 44 件の脆弱性についての情報を公開しました。これは、これは過去 2 年以上において最少の件数です。今回のリリースで、「緊急」と評価された脆弱性は 9 件のみで、残りはすべて「重要」でした。最も深刻なのは、Windows TCP/IP プロトコルの実装に存在するリモートコード実行の脆弱性 CVE-2021-26424 です。攻撃者は、TCP/IP プロトコルスタックを使用して、細工した TCP/IP パケットをホストに送信することにより、Hyper-V のゲストに対してこの脆弱性をリモートでトリガーする危険性があります。これにより、悪意のあるプログラムが仮想マシンで実行され、ホスト環境が侵害される危険性が高まります。

Snort SID57997 〜 57999、58003

件名:AT&T Labs の Xmill ユーティリティで発見された複数の脆弱性

説明:Cisco Talos はこのほど、AT&T Labs の Xmill ユーティリティに複数の脆弱性を発見しました。攻撃者がこれらの脆弱性をエクスプロイトして、アプリケーションのメモリを破壊したり、リモートコードを実行したりするなど、さまざまなアクションを実行する可能性があります。Xmill と Xdemill は、XML の圧縮と解凍のためのユーティリティです。これらのユーティリティの XML の圧縮効率は他の圧縮方式の約 2 倍とされています。AT&T Labs は脆弱性が発見された時点でこのソフトウェアのサポートを終了しており、パッチは提供されません。1999 年にリリースされたこのソフトウェアは、Schneider Electric 社の EcoStruxure Control Expert などの最新のソフトウェアスイートにインストールされています。同社は、製品に直接影響する問題の修正に取り組んでいます。

Snort SID57503 〜 57508

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2569a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565ebpopup_icon 

MD56be10a13c17391218704dc24b34cf736

一般的なファイル名:smbscanlocal0906.exe

偽装名:なし

検出名:Win.Dropper.Ranumbot::in03.talos

SHA 2564d59e857c6923b6ead19109dbf591bbe93f3407153c992ad35fc6ed8969a34c3popup_icon

MD5963aa12c1d0427cb154d519f21358ab4

一般的なファイル名:bld.exe

偽装名:cleaper.exe

検出名:W32.Auto:4d59e857c6.in03.Talos

SHA 256f682bdbd612c0215192be6c52f08f10c01e7af9a3136c2f67ec3e7ba563f565dpopup_icon

MD50b506c6dde8d07f9eeb82fd01a6f97d4

一般的なファイル名:ybcbqgo5z.dll

偽装名:なし

検出名:Win.Dropper.Ecltys::1201

SHA 2565e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6afpopup_icon

MD50a13d106fa3997a0c911edd5aa0e147a

一般的なファイル名:mg20201223-1.exe

偽装名:なし

検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 08 月 12 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Aug. 12, 2021)popup_icon」の抄訳です。

コメントを書く