今週も脅威情報ニュースレターをお届けします。
インターネット上のサービスの栄枯盛衰には非常に興味をそそられます。日々見聞きしているおなじみの存在が、次の瞬間たやすく姿を消してしまうのです。たとえば LiveJournal や Myspace は、ほぼ忘れ去られた存在です。イーロン・マスク氏による Twitter 社の買収後、多くのユーザーが退会していくさまを見て、時代やプラットフォームの変化に思いを馳せ、ノスタルジックな気分に襲われました。そうは言っても、状況があまり変わらないのも事実。これまではそうでしたが、今後は違います。私たちはひとまとまりのインターネットコミュニティとして成長を重ねてきました。アプリからアプリへ、サイトからサイトへと移行する大変さも忘れてはいません。情報セキュリティ業界で活躍するトップクラスの人材の多くが Twitter アカウントを停止しており、退会するかどうか、あるいは退会するタイミングについて検討している人もいます。一部の人たちは分散型ソリューションに移行しました。たとえば mastodon.social
では、Twitter 社買収の情報が公開されてからわずか 1 日の間に、新規ユーザーが 7 万人以上増えています。理論上、1 人の個人や 1 つの事業体によって Mastodon が支配されることはありません。これはインターネットコミュニティが進むべき次のステップであるように私には思われます。では、いずれ Mastodon が広く普及し、私たちのニーズすべてを満たしてくれるようになるのでしょうか?おそらくそうはならないでしょう。これはインターネットの進化の歩みの一歩であり、今後どうなっていくのか、非常に興味深いところです。
重要な情報
Cisco Talos インシデント対応チームは、最新の四半期レポートを公開しました。今四半期はランサムウェアとランサムウェア感染前のインシデントへの対応業務が多く、確認された脅威のほぼ 40% をこの両者が占めています。今四半期は、Qakbot、Hive、Vice Society の活動が続いたほか、2022 年 4 月に初めて発見されていた Black Basta の活動も確認されました。攻撃者は、攻撃ライフサイクルの複数のステージで攻撃をサポートするため、LoLBin だけでなくさまざまな公開ツールやスクリプトを使用していました。こうしたツールやスクリプトは、GitHub リポジトリでホストされているか、サードパーティの Web サイトから無料でダウンロードできます。MFA が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つですが、導入は依然として進んでいません。対応した約 18% のインシデントでは、MFA が導入されていないか、ごく少数のアカウントや重要なサービスでしか有効化されていませんでした。
注意すべき理由
攻撃者が現在使用しているツールと傾向を理解し、標的となる脆弱性を把握することは、優れたセキュリティ態勢を整えるうえで不可欠です。まずは自社の環境を把握し、次に、攻撃者の視点から自社の環境を理解しましょう。本レポートによると、「今四半期に対応したインシデントのほぼ 15% で、設定ミスのある公開アプリケーションの特定やエクスプロイトが行われていました。外部 Web サイトに対して SQL インジェクション攻撃を実行する、VMware Horizon の脆弱なバージョンで Log4Shell をエクスプロイトする、設定ミスのあるサーバーや公開されているサーバーを狙うといった手口によるものです」。
必要な対策
環境を把握し、セキュリティの土台となる部分を確実にカバーすることが重要です。パッチを適用し、セルフアセスメントを行い、信頼できる脅威インテリジェンスソースをチェックするようにしてください。二要素認証を使用していない全アカウントに対して、VPN アクセスを無効にすることをお勧めします。また、不審なアクティビティを防ぐため、Active Directory でアクティブでないアカウントを無効化するか削除するとよいでしょう。
OpenSSL の脆弱性については、影響を受ける OpenSSL システムを使用している場合、バージョン 3.0.7 にアップグレードしてできるだけ早く影響を軽減することを強くお勧めします。Talos は、デバイスポートフォリオ全体のカバレッジをリリースしています。具体的には、CVE-2022-3602 のエクスプロイトから保護する Snort ルール(60790、300306 ~ 300307)と、この脅威に関連するマルウェアのアーティファクトを検出する ClamAV シグネチャ(Multios.Exploit.CVE_2022_3602-9976476-0)です。
今週のセキュリティ関連のトップニュース
またしても、複数のセキュリティ研究機関や研究者があたかも攻撃に関与しているかのようにほのめかすランサムウェアグループが登場しました。今回犯人に仕立て上げられたのは、BleepingComputer、Hasherazade、MalwareHunterTeam、Michael Gillespie、Lawrence Abrams、Vitali Kremez(いずれも敬称略)です。ランサムウェアグループの Azov は、ファイルを回復したければ Twitter アカウント経由でこれらの研究機関や研究者に連絡を入れるよう感染したユーザーに呼び掛けていました。
Dropbox が、最近フィッシング攻撃の標的となりました。Github に保存されているコードにアクセスされ、サードパーティのライブラリ、社内のソフトウェアプロジェクト、Dropbox のセキュリティチームが管理するいくつかのツールと構成ファイルなど、130 ものコードリポジトリがコピーされました。なお、ユーザーコンテンツ、パスワード、決済情報へのアクセスはありませんでした。Dropbox のセキュリティチームは、インシデントへの対処を詳述したレポートを公開しています。
Talos 関連の情報
- https://blog.talosintelligence.com/researcher-spotlight-how-azim-khodjibaev-went-from-hunting-real-world-threats-to-threats-on-the-dark-web/
- https://blog.talosintelligence.com/quarterly-report-incident-response-trends-in-q3-2022/
- https://blog.talosintelligence.com/openssl-vulnerability/
- https://youtu.be/KhG6RUZgMas
Talos が参加予定のイベント
BSides Lisbon(11 月 10 日~ 11 日)
ポルトガル、リスボン、Cidade Universitária
SIS(Security Intelligence Summit)2022.ON(11 月 29 日)
ソウル、朝鮮パレスホテル
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
検出名:Simple_Custom_Detection
SHA 256:
d5dc790f6f220cf7e42c6c1c9f5bc6e4443cb52d07bcdef24a6bf457153c1d86
MD5:69fbf6849d935432bac8b04bdb00fd68
一般的なファイル名:KMSAuto++.exe
検出名:W32.File.MalParent
SHA 256:
e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:
125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:
00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5:d47fa115154927113b05bd3c8a308201
一般的なファイル名:outlook.exe
偽装名:
検出名:W32.00AB15B194-95.SBX.TG
本稿は 2022 年 11 月 03 日に Talos Group
Authors