親ロシア派の「CyberBerkut」と呼ばれる集団が 2015年 1月7日(現地時間)、ドイツ政府の複数の Webサイトに不正侵入したと犯行声明を出しました。トレンドマイクロでは、ウクライナの右派政党(Pravy Sektor)が「Pastebin」に投稿した情報を元に、この集団のメンバーに関する情報を入手しました。
続きを読む2014年12月中旬以降、韓国において原子力発電関連の情報漏えいが発生し、大きく報道されています。 これに伴い、この情報漏えいを行った攻撃者と見られるグループからは、韓国電力公社配下の韓国水力原子力発電(Korea Hydro & Nuclear Power、KHNP)に対し破壊的な不正プログラムによる攻撃を行ったとの声明も報じられています。この問題になっている「破壊的な不正プログラム」は、感染PC のハードディスクを破壊するため、「マスター・ブート・レコード(MBR)」を「一掃」するように設計されています。また、標的システムへの侵入には、韓国で広く使用されている文書ソフトウェア「アレアハングル」で作成された文書ファイル(拡張子HWP)の脆弱性を利用したと考えられています。また、問題の HWP の文書ファイルを開封させるために様々なソーシャルエンジニアリングの手法が利用されていました。
続きを読むセキュリティ専門家は、2014年12月、新しい POSマルウェアを確認したと報告しました。このPOSマルウェアは、ロシアのアンダーグランドのフォーラムでの呼称から「LusyPOS」と名付けられ、トレンドマイクロの製品では、「TSPY_POSLUSY.A」として検出される不正プログラムです。セキュリティ専門家はその解析において、「LusyPOS」は「Dexter」ファミリに関連するいくつかの特徴を備えているが、その挙動から「ChewBacca」ファミリ(「TSPY_FYSNA.A」として検出)とも関連していると述べています。「ChewBacca」は、匿名通信システム「The Onion Router(Tor)」を利用してコマンド&コントロール(C&C)サーバに接続することで知られています。
続きを読むトレンドマイクロは、2014年12月、米連邦捜査局(FBI)が「破壊的な不正プログラム」として注意喚起した「WIPALL」ファミリの解析、また Sony Pictures を狙った大規模な攻撃との直接的な関係性について本ブログ上で述べました。本稿では、「WIPALL」ファミリの亜種についての詳細と Sony Pictures の感染PC上に表示された「#GOP」と名乗るグループからの警告メッセージに関連した主な不正活動について述べます。図1 は、今回取り上げる不正プログラムの感染連鎖です。
図1:「BKDR_WIPALL.D」の感染連鎖
米連邦捜査局(FBI)は、2014年12月2日(米国時間)、「破壊的な不正プログラム」について米国の企業に警告を発しましたが、「Trendlabs(トレンドラボ)」では、この不正プログラムの検体を入手しました。Reuters によると、Sony Pictures へのサイバー攻撃を受け、FBI はこの新しい「破壊的な不正プログラム」に対して企業に注意を促しました。なお、Sony Pictures への攻撃と FBI が言及した不正プログラムの関連性はまだ検証されていません。
続きを読む
