Talos 読者の皆様、こんにちは。
今回取り上げるのは RAT です。と言っても、『レミーのおいしいレストラン』の主人公のネズミではなく、ServHelper の話です。アニメのシェフはかわいらしいものですが、このマルウェアははるかに危険な存在です。本日、この RAT の詳細について記した新しいブログ記事を公開しています。サイバー犯罪グループ TA505 が展開しており、クレジットカードデータをはじめとする機密情報を盗み出します。Talos はこのグループをしばらくの間追跡してきましたが、最近活動が急増しているのを確認しました。これが組織にとってどのような意味を持つかについては、公開したブログ記事と別途まとめた 1 ページの概要資料をご覧ください。
もちろん、さらに憂慮すべき脅威は他にも多々存在します。Talos インシデント対応四半期脅威レポートでは、インシデント対応担当者が実際に確認した上位の TTP、マルウェアファミリ、攻撃者をご確認いただけます。
レポートで取り上げている脅威だけでも十分怖いのですが、これだけではありません。Microsoft 社のセキュリティ更新プログラム(月例)が公開されたら、同社製品をできるだけ早く更新する必要があります。Microsoft 社は今月、月例のセキュリティ更新プログラムの一環として 44 件の脆弱性を公開しました。その中には、重大度スコアが 10 点中 9.8 点の脆弱性が 2 件含まれています。
今後予定されている Talos の公開イベント
講演者:Chris DiSalle
開催日:9 月 9 日
場所:バーチャル
説明:Talos インシデント対応チーム(CTIR)の Chris DiSalle が Technado ポッドキャストに登場、インシデント対応業界についてくまなくご紹介します。番組司会者の Don Pezet 氏を相手に、インシデント対応を始めた経緯や、現場で遭遇したぞっとするような事例など、盛りだくさんにお届けします。
ワークショップ:Analysing Android malware at VirusBulletin localhost 2021
講演者:Vitor Ventura
開催日:10 月 7 日 〜 8 日
場所:バーチャル
概要:Android のマルウェア感染が広まっています。このワークショップでは、Vitor Ventura が Android のマルウェアのリバースエンジニアリング手法を紹介します。参加者にはマルウェア分析のさまざまなアプローチが提供され、自動ツールを使用せずに独自に分析できるよう構成されています。他のすべて方法が失敗した場合、内部の状況を把握する必要があります。ワークショップでは、マルウェアの解凍、文字列の難読化解除、コマンド & コントロールプロトコルの識別、機能の識別について解説します。
1 週間のサイバーセキュリティ概況
- 国際的なコンサルティング会社 Accenture、今週 LockBit ランサムウェア攻撃を受けたと発表。同社はバックアップを使用して迅速に復旧しましたが、LockBit 攻撃を実行しているグループは、盗んだデータベースの一部をダーク Web サイトで販売していると主張しています。
- 今回の攻撃の数日前、オーストラリア政府が LockBit 攻撃の増加を注視していると企業に警告。オーストラリア サイバー セキュリティ センターはアドバイザリを発表し、LockBit が「プロフェッショナルサービス、建設、製造、小売、食品などさまざまな分野」を標的としていることに言及していました。
- 米国上院で今週可決された大規模なインフラ支出法案、サイバーセキュリティ向けに 19 億ドルを盛り込む。この中には、サイバーセキュリティ強化を図っている小規模な行政機関(主に農村部のコミュニティ)に対して連邦政府から拠出される巨額の割り当て金が含まれています。
- Conti ランサムウェアネットワークのメンバー、報酬不足を訴え、同マルウェアグループのプレイブックをリーク。このプレイブックには、同グループの Cobalt Strike ビーコンやよく使用される一連のツールに関する情報が含まれています。
- 最近発見された Cobalt Strike の脆弱性により、攻撃者が制御するボットネットを侵害できる可能性あり。Cobalt Strike は正当な目的で作成されたツールですが、攻撃者は通常悪意のある目的で使用しています。
- 新型コロナウイルスワクチンの接種を求める雇用主、娯楽施設、大学の増加に伴い、偽造ワクチンカード市場が拡大。当然のことながら、こうしたサービスの多くにはまた別の詐欺が絡んでいます。
- Adobe 社が e-コマースプラットフォーム Magneto の 26 件の脆弱性にパッチを適用、大半を「緊急」の脆弱性と評価。多くの Magneto ユーザが、Magecart カードスキミングマルウェアの標的になっています。
- Apple 社が新たな取り組みを発表、iCloud アカウントのスキャンによる児童虐待画像の検出を図る。これを受け、ユーザのプライベートな写真や動画を同社が確認できてしまう点についてセキュリティの支持者らが懸念を表明しています。
- 暗号通貨プラットフォーム Poly Network から 6 億ドル相当の仮想通貨が流出、「Dear Hacker」で始まる同社がハッカーに向けたメッセージがネット上で話題に。一部の被害者も、ハッカーに直接連絡して一部の金銭の払い戻しを求めました。
最近の注目すべきセキュリティ問題
件名:Microsoft 社がセキュリティ更新プログラムの一環として 44 件の脆弱性を公表、過去 2 年間で最少
説明:Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のファームウェアとソフトウェアで確認された 44 件の脆弱性についての情報を公開しました。これは、これは過去 2 年以上において最少の件数です。今回のリリースで、「緊急」と評価された脆弱性は 9 件のみで、残りはすべて「重要」でした。最も深刻なのは、Windows TCP/IP プロトコルの実装に存在するリモートコード実行の脆弱性 CVE-2021-26424 です。攻撃者は、TCP/IP プロトコルスタックを使用して、細工した TCP/IP パケットをホストに送信することにより、Hyper-V のゲストに対してこの脆弱性をリモートでトリガーする危険性があります。これにより、悪意のあるプログラムが仮想マシンで実行され、ホスト環境が侵害される危険性が高まります。
Snort SID:57997 〜 57999、58003
件名:AT&T Labs の Xmill ユーティリティで発見された複数の脆弱性
説明:Cisco Talos はこのほど、AT&T Labs の Xmill ユーティリティに複数の脆弱性を発見しました。攻撃者がこれらの脆弱性をエクスプロイトして、アプリケーションのメモリを破壊したり、リモートコードを実行したりするなど、さまざまなアクションを実行する可能性があります。Xmill と Xdemill は、XML の圧縮と解凍のためのユーティリティです。これらのユーティリティの XML の圧縮効率は他の圧縮方式の約 2 倍とされています。AT&T Labs は脆弱性が発見された時点でこのソフトウェアのサポートを終了しており、パッチは提供されません。1999 年にリリースされたこのソフトウェアは、Schneider Electric 社の EcoStruxure Control Expert などの最新のソフトウェアスイートにインストールされています。同社は、製品に直接影響する問題の修正に取り組んでいます。
Snort SID:57503 〜 57508
今週最も多く見られたマルウェアファイル
SHA 256:c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8e
MD5:9a4b7b0849a274f6f7ac13c7577daad8
一般的なファイル名:ww31.exe
偽装名:なし
検出名:W32.GenericKD:Attribute.24ch.1201
SHA 256:9a74640ca638b274bc8e81f4561b4c48b0c5fbcb78f6350801746003ded565eb
MD5:6be10a13c17391218704dc24b34cf736
一般的なファイル名:smbscanlocal0906.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in03.talos
SHA 256:4d59e857c6923b6ead19109dbf591bbe93f3407153c992ad35fc6ed8969a34c3
MD5:963aa12c1d0427cb154d519f21358ab4
一般的なファイル名:bld.exe
偽装名:cleaper.exe
検出名:W32.Auto:4d59e857c6.in03.Talos
SHA 256:f682bdbd612c0215192be6c52f08f10c01e7af9a3136c2f67ec3e7ba563f565d
MD5:0b506c6dde8d07f9eeb82fd01a6f97d4
一般的なファイル名:ybcbqgo5z.dll
偽装名:なし
検出名:Win.Dropper.Ecltys::1201
SHA 256:5e46ecffcff9440e97bf4f0a85ad34132407f925b27a8759f5a01de5ea4da6af
MD5:0a13d106fa3997a0c911edd5aa0e147a
一般的なファイル名:mg20201223-1.exe
偽装名:なし
検出名:RanumBot::mURLin::W32.5E46ECFFCF.in12.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 08 月 12 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 12, 2021)」の抄訳です。