あけましておめでとうございます。今週も脅威情報ニュースレターをお届けします。
Lurene が危険なレシピを紹介したエッグノッグから立ち上る湯気のせいなのか、休み中にすっかりリラックスしたせいなのか、私たちは未だに、埋もれたメールを探し出したりログイン情報をどうにか思い出したりしながら、2023 年まで先送りした諸々の作業に戻っている状況です。そんな感じでメンバーもみな徐々に体を慣らしているところですので、今週のニュースレターは短めにしたいと思います。
重要な情報
先月、2022 年の Talos の取り組みを網羅的に紹介したレポート『一年の総括』を公開しました。第 1 版を 12 月 14 日に公開し、補足資料となるウクライナ情勢に関するサマリーレポートも同じ日に発表しています。第 1 版のレポートとウクライナのセクションについて説明する場として、Talos はレポートの主な協力者を招いてライブ配信を行いました。こちらでアーカイブ動画を視聴できます。
注意すべき理由
データに基づいているこのレポートをお読みいただければ、シスコ(およびセキュリティコミュニティ)が成し遂げた注目すべき成果や残された課題について理解を深めることができます。今後数週間で、本レポートのさまざまな側面を取り上げていきます。具体的には、ウクライナにおけるシスコの取り組み、大損害を与える Log4j の脆弱性、攻撃フレームワークや標的マシンのネイティブソフトウェアが攻撃者に利用されている現状、ランサムウェア環境の変化、コモディティ型のローダーとトロイの木馬による絶え間ない脅威を紹介し、シスコが最も懸念している Advanced Persistent Threat(APT)のいくつかについて概要を説明します。レポート全体に共通する重要なテーマは明らかです。攻撃者は地政学的な状況の変化、法執行機関の措置、防御側の取り組みに適応しようとしています。防御側はレジリエンスを保つために、こうした行動の変化を追い、対応をとる必要があります。
必要な対策
新年を迎えましたが、Talos の 2022 年版『一年の総括』は今後も長く役に立つレポートになっています。レポートをまだお読みでない方は、レポート全文とそのトピックを取り上げた 4 部構成のライブ配信シリーズで要約バージョンを入手できます。Talos の LinkedIn ページまたは Twitter ページから、1 月 10 日正午(東部標準時)開催の次回のライブ配信「2022 年版『一年の総括』:APT」にご参加ください。
今週のセキュリティ関連のトップニュース
それほど悪人でもないということなのか、LockBit ランサムウェアグループはメンバーの 1 人がルールを破って医療機関を攻撃した件を受け、Hospital for Sick Children(SickKids)への攻撃を謝罪する声明を出しています。同グループは謝罪声明の中で、当該メンバーは出入りを禁止されてアフィリエイトプログラムから抜けたと述べ、影響を受けたファイルを SickKids が回復できるように、無料の復号ツールを提供しました(情報源:Bleeping Computer)。
アイルランドのデータ保護委員会によると、Facebook と Instagram で EU 一般データ保護規則(GDPR)の個人データに関する法律の違反があったとして、Meta 社が 400 万ドル以上の罰金を科されました。同委員会は声明の中で、Meta 社は「透明性に関する義務」と「行動に基づく広告配信を目的とした個人データ処理に関する義務」に違反したと述べました(情報源:SecurityWeek)。
PyTorch チームは、同フレームワークの「torchtriton」ライブラリと同じ名前を持つ悪意のある依存関係が最近発見されたために、休暇中も何かと落ち着きませんでした。PyTorch 管理者は、PyTorch-nightly を最近インストールしたユーザーに対して、偽の「torchtriton」の依存関係が含まれているフレームワークをアンインストールするよう勧告しています(情報源:SC Media)。
Talos が発信している情報
2022 年版『一年の総括』:ウクライナに関するライブ配信(オンデマンド)
Talos が参加予定のイベント
CactusCon(1 月 27 日~ 28 日)
アリゾナ州メサ
Cisco Live Amsterdam(2 月 6 日~ 10 日)
アムステルダム(オランダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:1077bff9128cc44f98379e81bd1641e5fbaa81fc9f095b89c10e4d1d2c89274d
MD5:26f927fb7560c11e509f0b8a7e787f79
一般的なファイル名:Iris QuickLinks.exe
偽装名:Iris QuickLinks
検出名:W32.DFC.MalParent
SHA 256: 00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5:d47fa115154927113b05bd3c8a308201
一般的なファイル名:excel.exe
偽装名:なし
検出名:W32.00AB15B194-95.SBX.TG
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:
Internet Explorer
検出名:W32.File.MalParent
SHA 256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Simple_Custom_Detection
SHA 256: 59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名:DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
本稿は 2023 年 01 月 05 日に Talos Group のブログに投稿された「Threat Source newsletter (Jan. 5, 2023): Digging out of our inboxes」の抄訳です。