「MISPADU(ミスパドゥ)」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール(バンキングトロジャン)に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動(スパムキャンペーン)が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。
今回トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しました。バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。
続きを読むLinuxの脅威や「モノのインターネット(Internet of things, IoT)」マルウェアのリサーチャは、複数のマルウェア検体を扱うことの難しさをよく分かっているでしょう。IoTマルウェアの検体は通常、複数のアーキテクチャで実行可能となるよう形式変換されているため、処理と分類が難しいものです。また、それら複数種類のファイルを調査するためのツールや手法も不足しています。IoTおよびLinuxマルウェアのリサーチャにとって、Linuxの実行可能形式である「Executable and Linkable Format (ELF)」ファイルの調査が容易になるように、トレンドマイクロでは、「Trendmicro ELF Hash(telfhash)」を作成しました。「telfhash」は、Linux IoTマルウェアの検体を効果的に分類するのに役立つ、オープンソースのクラスタリングアルゴリズムです。つまり、telfhashは、シンボルテーブルハッシュとの間には決定的な違いが一部あるとはいえ、ELFファイルのインポートハッシュ(ImpHash)に類似した概念として理解可能です。トレンドマイクロは今年4月、このアルゴリズムを初めて公開しました。そしてこの度、telfhashはマルウェア検査サービス「VirusTotal」上で正式にサポートされる運びとなりました。
企業は未来を見据えたアプリケーション構築のため、マイクロサービスアーキテクチャに注目しています。マイクロサービスは企業のインフラストラクチャ管理を効率化し、アップデート・改善点を容易に展開できるようにするほか、ITチームを革新し、失敗から早く見識が得られるよう支援します。さらに企業はマイクロサービスを利用することで、要求に応じて拡張性の高いアプリケーションを簡単に作成できるようになります。これらの利点がある一方で、企業が、1つのモジュールで構成される従来のモノリシック型アプリケーションからコンテナ化によって分割構成されるマイクロサービスアーキテクチャに移行した場合、マイクロサービス間の効率的かつ堅牢な通信を確立する必要性が生じます。クライアントアプリケーションとサーバアプリケーション間で行われる重要かつ複雑な通信は、gRPCによって処理することができます。gRPCは、接続されたシステム間での通信を簡単に透過化・効率化するユニバーサルリモートプロシージャコール(RPC)フレームワークです。gRPCは2015年にGoogleが開発した比較的新しいRPCフレームワークですが、人気と需要が急速に高まっています。
セキュアなRPC APIはアプリケーションセキュリティにおいて極めて重要な役割を果たします。本ブログ記事では、開発者がgRPCに移行し、プロジェクト内でgRPCを実装する際に懸念されるセキュリティの穴について解説します。また、脅威からgRPC実装を保護してリスク軽減するための推奨事項についてもご紹介します。
続きを読むトレンドマイクロでは日夜脅威の監視と対応を行っています。その中からさまざまな脅威が利用する高度に開発された攻撃手法に着目しました。ランサムウェアにおいては、新たな暗号化型ランサムウェアファミリ「DARKSIDE(ダークサイド)」が出現する一方で、別のランサムウェアファミリ「CRYSIS」(別名Dharma)を背後で操る攻撃者がハッキングツールキットを一般に公開しました。メッセージ機能を悪用する脅威においては、攻撃対象を絞った標的型メールの送信活動(キャンペーン)を介して情報窃取型マルウェア「NEGASTEAL(ネガスティール)」(別名Agent Tesla)が拡散されました。またファイルレス活動を行う脅威においては、不正マイニングを狙い、コインマイナーが正規アプリケーションにバンドルされ頒布されていることが確認されました。
続きを読むトレンドマイクロが提供する製品「Trend Micro XDR™ Add-on: Apex One SaaS」は、攻撃を初期段階で検出し、発生中のインシデントを視覚化するために必要な可視性を提供します。これは企業のネットワーク防御の維持と解析を行うセキュリティ担当者、いわゆる「ブルーチーム」にとって、非常に有益な情報となります。弊社の「Trend Micro ™ Managed XDR 」チーム(以下XDRチーム)が最近対処したあるインシデントでは、悪意を持った攻撃者が特定の手法を攻撃に組み込んだことが明らかになりました。この攻撃手法は、ブルーチームとセキュリティリサーチャにとって、一連のイベントの解析がより困難化する複雑なものでした。本記事ではXDRチームが特定した複雑な攻撃手法と、特定に至った調査内容について解説します。 (さらに…)
続きを読むトレンドマイクロでは、Xcodeの開発者向けプロジェクト関連で、異常な感染を確認しました。さらに調査を進めたところ、特定の開発者のXcodeプロジェクト全体にソースマルウェアが含まれており、不正ペイロードの取得につながることが判明しました。本記事では、Mac向けマルウェア「XCSSET」に関する調査結果を要約します。この攻撃の詳細については、こちらの技術的詳細から確認可能です。トレンドマイクロでは、最初に侵入するマルウェアを「TrojanSpy.MacOS.XCSSET.A」として、そしてコマンド&コントロール(C&C)に関連するファイルを「Backdoor.MacOS.XCSSET.A」として検出しました。
図1:ソースマルウェアを含むXcodeプロジェクトのサンプルとそのコンテンツの例 (さらに…)
続きを読む昨年2019年、トレンドマイクロは高い人気を集めるInstagramアカウントのプロフィールを乗っ取る攻撃を確認しました。そして2020年10月現在、同様の手口を利用する攻撃が再び増加しています。今回の事例では、攻撃の目的である「アカウントの乗っ取り」は同じでも、新たな誘導手口が用いられています。どちらの攻撃もトルコ語を使用するハッカー集団が関与しており、Instagramからの正規メッセージに偽装したフィッシングメールを介して認証情報を窃取したのちInstagramアカウントを乗っ取っています。