緊急セキュリティ更新が土曜日にSophos XG Firewall向けにリリースされました。この更新プログラムは、ゼロデイSQLインジェクションのリモートコード実行脆弱性を修正し、現在野生で積極的に悪用されています。これにより、サイバー攻撃者は管理インターフェースを介してSophosファイアウォールを侵害し、Asnarokマルウェアを展開できます。このトロイの木馬はファイアウォールのライセンスとシリアルナンバー、ユーザーのメール、管理者のソルトされたSHA256ハッシュ、暗号化されたパスワードを盗みます。この脅威から組織を守るため、ファイアウォールでのホットフィックスの自動インストールが有効になっていることを確認してください: https://community.sophos.com/kb/en-us/135415私たちのSOCチームは、Sophosの セキュリティ勧告に基づいてIOCを利用したSigmaルールを公開しました。これを使用してマルウェアの痕跡を見つけ、XGファイアウォールが侵害されたかどうかを判断できます。Uncoderを使用してSigmaルールをセキュリティプラットフォーム用の検出コンテンツに変換することもできます。また、すべての利用可能な翻訳をThreat Detection Marketplaceで確認できます: https://tdm.socprime.com/tdm/info/RN0oGcnrZfoU/HYulvHEB1-hfOQirCe1I/#Uncoderへのリンク: https://uncoder.io/Uncoderユーザーガイドはこちら: https://socprime.com/en/blog/uncoder-io-user-guide/Sigma:
| title: Sophos Firewall Asnarok マルウェアキャンペーン (IOC) status: stable description: 2020年4月、Sophosファイアウォールは、その管理インターフェースを介して0-day SQLiエクスプロイトを使用する攻撃者によって標的にされました。配布されたマルウェアは「asnarok」と名付けられています。 references: – https://news.sophos.com/en-us/2020/04/26/asnarok/ author: SOC Prime Team logsource: category: any detection: keyword: – ‘736da16da96222d3dfbb864376cafd58239344b536c75841805c661f220072e5’ – ‘a226c6a641291ef2916118b048d508554afe0966974c5ca241619e8a375b8c6b’ – ‘4de3258ebba1ef3638642a011020a004b4cd4dbe8cd42613e24edf37e6cf9d71’ – ‘9650563aa660ccbfd91c0efc2318cf98bfe9092b4a2abcd98c7fc44aad265fda’ – ‘8e9965c2bb0964fde7c1aa0e8b5d74158e37443d857fc227c1883aa74858e985’ – ’31e43ecd203860ba208c668a0e881a260ceb24cb1025262d42e03209aed77fe4′ – ‘/sp/sophos.dat’ – ‘.post_MI’ – ‘filedownloaderserverx.com’ – ‘filedownloaderserver.com’ – ‘updatefileservercross.com’ – ‘43.229.55.44’ – ‘38.27.99.69’ – ‘sophosfirewallupdate.com’ – ‘filedownloaderservers.com’ – ‘ragnarokfromasgard.com’ – ‘sophosenterprisecenter.com’ – ‘sophoswarehouse.com’ – ‘sophosproductupdate.com’ – ‘sophostraining.org’ condition: keyword falsepositives: – このルールは脅威インテリジェンスフィードのIOCデータに基づいてトリガーする可能性があります level: critical |
