Talos 読者の皆様、こんにちは。
Microsoft Exchange Server の一連の脆弱性がエクスプロイトされたことが今年初めに話題になりました。Exchange Server の脆弱性はその後も何度か取り上げられては話題から消えていましたが、攻撃者は今も虎視眈々とこの脆弱性を狙っています。
Babuk ランサムウェアを拡散している攻撃者は、Exchange Server の脆弱性を悪用して標的を感染させています。記事を読んで Babuk 攻撃の仕組みをご確認いただき、まだパッチを適用していない場合は必ず適用してください。
このようなランサムウェア攻撃に備えてインシデント対応(IR)計画
を準備しておくことはとても重要です。こちらの新しい策定ガイドは、IR 計画を新しく策定する場合にも、既存の計画を練り上げる場合にも役立つ内容となっていますので、ぜひご一読ください。
1 週間のサイバーセキュリティ概況
- BlackMatter ランサムウェアグループのメンバーがカスタムのデータ漏洩ツールキットの使用を開始。特定のファイルタイプを盗み出して攻撃者が管理するサーバーにアップロードしています。ツールには複数のバリエーションがあることをセキュリティ研究者が確認しており、大量のデータを流出させるために攻撃者がツールに変更を加えていると考えられます。
- Google の新型スマートフォン Pixel 6 は新しいセキュリティ機能を搭載。自社製システムオンチップの恩恵がここにも現れています。また同社は Pixel 6 のセキュリティアップデートを少なくとも 5 年間提供するとしています。
- ヘルスアプリ Docket にバグが発覚、ニュージャージー州とユタ州に住むユーザーのワクチン接種状況などの情報が不正に取得できる状態に。このバグはすでに修正されています。Docket はワクチン接種証明アプリとしての使用が両州で承認されています。
- 欧州刑事警察機構が LockerGoga ランサムウェアに関与した数名を逮捕、マルウェアの活動停止へ。LockerGoga の感染被害は 71 か国 1,800 人以上に及んでいると推定されます。
- 今年ランサムウェアの攻撃を受けた米国の学校がすでに 1,000 校近くに。学校のシステムを標的にした攻撃の件数は 2019 年に増加し、それ以降ペースは加速する一方です。
- 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が米国のすべての重要インフラの洗い出しと分類を開始。これらのインフラがサイバー攻撃を受けると日常生活に混乱が生じる恐れがあります。すべての重要インフラを把握することで、今後これらのサービスを保護する法律を制定、実施しやすくなると期待されています。
- CISA のジェン・イースタリー長官、エクスプロイトされた既知の脆弱性のリストを CISA が作成中であり今後政府機関にパッチ適用を求めていくと議会で証言。この指令は連邦政府機関のみが対象ですが、すべての企業がこのリストに厳密に従うことを推奨するとしています。
- イラン、国内のガソリン販売を何日も中断させたサイバー攻撃は米国とイスラエルの仕業であると非難。販売停止を受けガソリン価格が上昇し、ガソリンスタンドは手動での営業を余儀なくされました。
- Grief ランサムウェアグループが先週全米ライフル協会を攻撃。Grief は米国政府の制裁対象になっているため身代金を支払うと処罰される可能性があり、同協会は難しい状況に陥っています。
最近の注目すべきセキュリティ問題
Microsoft Exchange の脆弱性、今度はランサムウェア Babuk によりエクスプロイト
Cisco Talos はこのほど、ランサムウェア Babuk の亜種を展開するサイバー攻撃を発見しました。被害を受けたのは米国のユーザーが大半ですが、英国、ドイツ、ウクライナ、フィンランド、ブラジル、ホンジュラス、タイでも件数は少ないものの感染例が確認されています。攻撃実行者は、攻撃で使用されているペイロードファイル名にちなんで、Tortilla とも呼ばれています。2021 年 7 月以降に活動を始めた新しい攻撃者ですが、Babuk を展開する前にも、PowerShell ベースの Netcat のクローンである Powercat など他のペイロードを試してきました。Powercat は、Windows マシンへの不正アクセスを取得できるツールとして知られています。最初の感染ベクトルは Microsoft Exchange Server の ProxyShell における脆弱性のエクスプロイトで、Web シェル China Chopper が使用された可能性があると Talos では推測しています。
Snort SID:57873、57874
ClamAV シグネチャ:
- Ransomware.Packer-7473772-1
- Trojan.Swrort-5710536-0
- Trojan.Powercat-9840812-0
- Trojan.Swrort-9902494-0
- Exploit.PetitPotam-9902441-0
- Trojan.MSILAgent-9904224-0
- Malware.Agent-9904986-0
- Malware.Agent-9904987-0
- Malware.Agent-9904988-0
- Malware.Agent-9904989-0
- Malware.Agent-9904990-0
- Downloader.DarkTortilla-9904993-0
- Trojan.DarkTortilla-9904994-0
MirrorBlast フィッシング攻撃、Excel スプレッドシートを使用して検出を回避
この最近登場したマルウェアはフィッシング攻撃を展開しており、細工された Excel ファイルを使用して悪意のある URL やファイルを開くよう標的を誘導し、検出を回避しています。攻撃者はソーシャルエンジニアリングを駆使して Microsoft Office スイートでマクロを有効にするように仕向けます。Google ドライブや SharePoint のリンクも感染経路となっており、リンクをクリックすると Excel ファイルが参照されるという仕組みです。電子メールにファイルが添付されているケースもあります。スパムメールの内容で多いのは、新型コロナウイルス関連のニュースです。新型コロナはこの 2 年間で最も多くスパム攻撃に使用されたトピックの 1 つです。
Snort SID:58430 ~ 58433
今週最も多く見られたマルウェアファイル
SHA 256:5bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13
MD5:a6a7eb61172f8d988e47322ebf27bf6d
一般的なファイル名:wx.exe
偽装名:なし
検出名:Win.Dropper.Wingo::in07.talos
SHA 256:e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762
MD5:6ea750c9d69b7db6532d90ac0960e212
VirusTotal:
一般的なファイル名:deps.zip
偽装名:なし
検出名:Auto.E5044D5AC2.242358.in07.Talos
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:Antivirus Service
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:7b4da67a0eea0dce93c7d89c565319fe2645114ca0ff679948ad2a55819c79b4
MD5:990d51d0c45519da4d995f7c264733e5
一般的なファイル名:SAntivirusService.exe
偽装名:SAService
検出名:PUA.Win.Dropper.Segurazo::95.sbx.tg
SHA 256:fc8d064e05ebe37d661aeccb78f91085845e9e28ccff1f9b08fd373830e38b7f
MD5:e0a50c60a85bfbb9ecf45bff0239aaa3
一般的なファイル名:gMpKaUjCkJ
偽装名:なし
検出名:WinGoRanumBot::mURLin::W32.Auto:fc8d064e05.in03.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 11 月 04 日に Talos Group
Authors