今週も脅威情報ニュースレターをお届けします。
Talos が今年の BlackHat の会場に戻ってまいります。前回ブースを出展したのが遠い昔の出来事のようです。本当に長い時間だったように感じます。皆様とまたお会いして近況報告、歓談、情報交換、セキュリティ全般の話題に花を咲かせられるのが楽しみです。
メインカンファレンスが開催される 2 日間、さまざまなプレゼンテーションを Cisco Secure ブースで行うほか、Talos 主催の講演も予定しています。これは BlackHat が始まる前の最後のニュースレターですので、この「ハッカーサマーキャンプ」で Talos がお届けする素晴らしい内容をご紹介しておこうと思います。
Talos のブースは簡単に見つかると思います。Bayside B のメインエントランスのすぐ近くにあります。Trellix Lounge に着いてしまったら北に行きすぎです。ブースでは Talos の研究者が皆様のご質問に何でもお答えします。また Adobe 社の脆弱性に関する調査や、人工妊娠中絶を憲法上の権利と認める「ロー対ウェイド判決」が覆されたことのプライバシーへの影響といったさまざまなセキュリティトピックに関するプレゼンテーションも予定しています。プレゼンテーションをご覧いただいた方には、今回初めてお披露目する Snort 3 をあしらった Snorty ステッカーと、今年の Cisco Live で大好評を博したマルウェアマスコットのステッカーをお配りいたします。
またキャリアセンターの方でも、Talos で働いてくれる人材をお待ちしています。金と銀の Snorty がいるという噂もありますので、採用には興味がない方もぜひ覗いてみてください。11 日(木曜日)の午前 10 時から 12 時まで、Talos の採用担当マネージャがキャリアセンターにて履歴書を拝見し、ご質問にお答えします。
より詳しい話をお聞きになりたい方は、10 日から 11 日にかけて 5 つのセッションを主催しますので、ぜひご参加ください。これらの講演の最新スケジュールや場所を知りたい方は、Talos の Twitter をフォローするか、こちらのシスコの BlackHat イベントページをチェックしてください。Talos 主催の講演では、ウクライナにおける Talos の最新の取り組み、ビジネスメール詐欺の増加、国家の支援を受けた攻撃者の最新動向などをご紹介します。どうぞお見逃しなく。
また Cisco Live で明かされた秘密を気に入った方なら、BlackHat のブースに用意されている次の秘密もきっとお気に召すはずです。ぜひ立ち寄ってお尋ねください。
DEF CON に参加される方は、Blue Team Village にも Talos が出演しますのでご覧ください。Blue Team Village の Discord にご質問をお寄せいただき、8 月 12 日午後 8 時から午後 11 時(現地時間)の BTV Pool Party にご参加ください。
Talos のソーシャルメディアではこの 2 つのカンファレンスに関する Talos の最新情報をお届けしていますので、ぜひフォローしてください。 –
重要な情報
Cisco Talos はこのほど、「Manjusaka」という新しい攻撃フレームワークが実際に使用されていることを確認しました。このフレームワークは Cobalt Strike の次の進化形である可能性があり、実際に Cobalt Strike に倣ったものだと言われています。Manjusaka が実際に広く展開されているのはまだ確認していませんが、世界中の攻撃者に採用される可能性があります。
注意すべき理由
Talos の研究者が確認したところによると、コマンドアンドコントロール(C2)は GoLang で記述されており、簡体字中国語のユーザーインターフェイスを備えています。十分に機能するバージョンの C2 を無料で入手でき、カスタム構成の新しいインプラントを簡単に生成できます。そのため、攻撃者の間でこのフレームワークの使用が広まる可能性が高くなっています。セキュリティ担当者は、攻撃者が使用する可能性がある最新のツールを常に把握しておく必要があります。Cobalt Strike は最も広く使用されているツールの 1 つなので、Cobalt Strike の進化形が出現すれば注目が集まると考えてよいでしょう。
必要な対策
簡単に入手できて、さまざまな攻撃者が悪用する可能性のあるこうしたツールやフレームワークに対し、警戒を怠らないようにする必要があります。リスク分析アプローチに基づいた多層防御戦略にはこのフレームワークに対する最高の予防効果があります。また Talos では、Manjusaka の使用を検出できる Snort ルール 60275 と ClamAV シグネチャ Win.Trojan.Manjusaka-9956281-1 もリリースしています。
その他の注目情報
ナンシー・ペロシ米国下院議長が今週台湾を訪問しましたが、その後、コンビニエンスストアから政府機関の Web サイトに至る台湾のあらゆる組織でサイバー攻撃が増加しました。米国の最高位の政府高官が前回訪台したのは 20 年以上前のことです。攻撃が増加したとはいっても、その多くはスキルの低い攻撃者によるものであったと思われます。中には、報道量が増えたことによる通常のトラフィック増加と思われるケースもありました。中国政府はペロシ氏の行動に不満を表明して軍事演習を実施しており、訪台への報復として台湾や米国にサイバー攻撃を仕掛ける可能性があります(情報源:Reuters、Washington Post)。
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が、先週公開された Atlassian Confluence の重大な脆弱性を攻撃者が積極的にエクスプロイトしていると注意喚起しています。CVE-2022-26138 は、Questions for Confluence アプリで発見された脆弱性(ハードコーディングされたパスワードの使用)で、CISA が金曜日に、エクスプロイトされた既知の脆弱性のリストに追加しました。この脆弱性がエクスプロイトされると、オンプレミスの Confluence Server および Confluence Data Center プラットフォームに存在するすべてのデータにアクセスされる危険性があります。米国の連邦政府機関は、CISA の新しいガイダンスに従って、3 週間以内にこの問題に対するパッチを適用する必要があります(情報源:Dark Reading、Bleeping Computer)。
北朝鮮政府の支援を受けた攻撃者が引き続き活動しており、最近、新しい Gmail 攻撃が攻撃手段に加わりました。悪名高い SharpTongue グループが SHARPEXT マルウェアを使用して、米国、ヨーロッパ、韓国の組織を標的にしています。攻撃を受けている組織は、北朝鮮の安全保障に関わると同国が見なしている核兵器などのトピックを扱っています。SHARPEXT に感染すると Google Chrome 拡張機能がインストールされます。これによって Gmail の多要素認証とパスワードがバイパスされ、最終的に受信トレイに侵入されて、電子メールや添付ファイルが閲覧されたりダウンロードされたりする危険性があります。北朝鮮の他の攻撃者はリモートの求人に応募する LinkedIn の偽アプリケーションを引き続き使用しており、最終的に暗号通貨を窃取して、同国の兵器計画に資金を供給することを狙っています(情報源:Ars Technica、Bloomberg)。
Talos が発信している情報
- 『Talos Takes』エピソード#106:前四半期の主要な攻撃者の動向
- 『Beers with Talos』エピソード#124:「隠すものなど何もない」などとは言っていられない
- BlackHat — 詩
- 注目の脆弱性:ウイルススキャンが停止されてコード実行につながる危険性がある Alyac ウイルス対策プログラムの脆弱性を発見
- 注目の脆弱性:適切にシリアル化されたデータの誤用による 17 件の脆弱性を TCL LinkHub Mesh Wi-Fi システムで発見
- 注目のセキュリティ研究者:貴社を襲ったその攻撃、Lurene Grenier が何年も前から警告していました
- Sliver や Cobalt Strike に似た新しい攻撃ツール Manjusaka
Talos が参加予定のイベント
BlackHat U.S.A 2022(2022 年 8 月 6 日~ 11 日)
ネバダ州ラスベガス
USENIX Security ’22(2022 年 8 月 10 日~ 12 日)
ネバダ州ラスベガス
DEF CON U.S. (2022 年 8 月 11 日~ 14 日)
ネバダ州ラスベガス
Security Insights 101 ナレッジシリーズ (2022 年 8 月 25 日)
オンライン
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:f21b040f7c47d8d3d9c1f0ef00f09e69f2c3f0e19d91988efc0ddd4833ced121
MD5: 9066dff68c1d66a6d5f9f2904359876c
一般的なファイル名: dota-15_id3622928ids1s.exe
偽装名:なし
検出名: W32.F21B040F7C.in12.Talos
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:168e625c7eb51720f5ce1922aec6ad316b3aaca838bd864ee2bcdbd9b66171d0
MD5:311d64e4892f75019ee257b8377c723e
一般的なファイル名:ultrasurf-21-32.exe
偽装名:なし
検出名:W32.DFC.MalParent
本稿は 2022 年 08 月 04 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 4, 2022) — BlackHat 2022 preview」の抄訳です。