持続的標的型攻撃キャンペーン「LURID」と関連が深い不正プログラム「Enfal」。この更新版が世界的規模でコンピュータ 800台以上に感染している事例が確認されています。Enfal は、特定のサーバと通信することで知られており、攻撃者は、このEnfal を用いて感染コンピュータにアクセスすることができ、また、感染コンピュータを完全制御さえすることが可能となります。
続きを読む本ブログ記事は、中国のアンダーグラウンドについて解説するシリーズの第6弾です。これまでのブログ記事およびホワイトペーパーは、以下をご一読ください。
・1.中国のアンダーグラウンド事情について:最新リサーチの成果から
/archives/5725
・2.中国のアンダーグラウンド事情について:収益化の仕組み
/archives/5751
・3.中国のアンダーグラウンド事情について:仮想資産の窃取
/archives/5799
・4.中国のアンダーグラウンド事情について:インターネット上における資源およびインターネットサービスの悪用
/archives/5844
・5.中国のアンダーグラウンド事情について:悪意あるハッカーの手法、ツールおよび育成
/archives/5881
・China Education and Research Network Computer Emergency Response Team(CCERT)
http://igcc.ucsd.edu/publications/igcc-in-the-news/news_20120731.htm
トレンドマイクロは、過去のブログ記事において中国のアンダーグラウンドの構造について解説してきました。本ブログ記事では、中国のアンダーグラウンドの実態や規模、つまり、取引された金銭などを考察します。
続きを読むトレンドマイクロは、2012年8月後半において、Android OS を搭載したモバイル端末(以下、Android端末)向けの人気アプリストアを監視しましたが、これにより「ANDROIDOS_PLANKTON」の亜種として検出されるアプリの数が急増していることが判明しました。
続きを読む本ブログ記事は、中国のアンダーグラウンドについて解説するシリーズの第5弾です。これまでのブログ記事およびホワイトペーパーは、以下をご一読ください。
・1.中国のアンダーグラウンド事情について:最新リサーチの成果から
/archives/5725
・2.中国のアンダーグラウンド事情について:収益化の仕組み
/archives/5751
・3.中国のアンダーグラウンド事情について:仮想資産の窃取
/archives/5799
・4.中国のアンダーグラウンド事情について:インターネット上における資源およびインターネットサービスの悪用
/archives/5844
・China Education and Research Network Computer Emergency Response Team(CCERT)
http://igcc.ucsd.edu/publications/igcc-in-the-news/news_20120731.htm
今回は、第4かつ最後の「バリューチェーン」となる「悪意あるハッカーの手法、ツールおよび育成」です。どのようなアンダーグラウンドコミュニティも、ツールやトレーニングが無ければ、遅かれ早かれ破錠してしまう運命にあります。
続きを読むセキュリティ業界では、Java を狙った新たなゼロデイ脆弱性が判明して以降、この脆弱性について注目しています。このゼロデイ脆弱性は、「スパイ活動」を主な目的としたサイバー攻撃「Nitro」による標的型攻撃で利用される中国の攻撃ツール(「Gondad」または「KaiXin」)から応用されたようです。そして、この脆弱性は、攻撃ツール「BlackHole Exploit Kit」を用いるサイバー犯罪の活動に一役買ったのです。これらの攻撃ツール開発の繋がりが明らかになり始めていますが、Nitro といった一連の標的型攻撃が無くなることはないため、再びこの活動が活発になってきたということではないことを念頭に置いておく必要があります。Nitro の攻撃者は、不正活動が報告された2011年以降から活動を続けているのです。
続きを読む2012年8月末、Oracle Java 7の “Java Runtime Environment (JRE)7 Update 6 ビルド1.7x” に存在する未修正の脆弱性「CVE-2012-4681(JVNTA12-240A)」が、特定のサイトに組み込まれた不正なJARファイルにより利用されたことが確認されました。問題の不正なJARファイルによってこの脆弱性が利用されると、最終的にバックドア型不正プログラムのダウンロードに誘導されることとなります。これにより、実質上、不正リモートユーザが目的とするコマンドをこの脆弱性の被害を受けたコンピュータ上で実行することが可能になります。
このゼロデイのエクスプロイトコードは、Internet Explorer(IE)や Firefox、Opera のすべてのバージョン上で実行されます。また、Metasploitの検証によると、Google Chrome および Safari 上でも実行されると報告されています。
続きを読む本ブログ記事は、中国のアンダーグラウンドについて解説するシリーズの第4弾です。これまでのブログ記事およびホワイトペーパーは、以下をご一読ください。
・中国のアンダーグラウンド事情について:最新リサーチの成果から
/archives/5725
・中国のアンダーグラウンド事情について:収益化の仕組み
/archives/5751
・中国のアンダーグラウンド事情について:仮想資産の窃取
/archives/5799
・China Education and Research Network Computer Emergency Response Team(CCERT)
http://igcc.ucsd.edu/publications/igcc-in-the-news/news_20120731.htm
第3の「バリューチェーン」は、「インターネット上における資源(機器および端末など)、またインターネットサービスの悪用」です。このバリューチェーンは、他のすべてのバリューチェーンを手助けするという点が特徴であるといえます。サイバー犯罪者にとって、自由に利用できる不正なサーバおよびボット無しでは、現実および仮想資産の窃取がより難しくなります。
続きを読む「TrendLabs(トレンドラボ)」では、VMware の仮想マシン上で拡散すると言われている不正プログラム「Crisis/MORCUT」に関する報告を受けました。この不正プログラムについてを取り上げた前回の記事では、この不正プログラムがMac OS X を狙うバックドア型不正プログラムであると言及しています。しかし今回、トレンドラボが入手した「MORCUT」の検体は、Windows上で実行され、興味深いことに、仮想ディスクをマウントします。その動作を行うにあたっては、VMwareの設定ファイルを確認してホストシステム上にインストールされている仮想マシンの場所を確認します。
続きを読む