脆弱性攻撃ツール(エクスプロイトキット、EK)の活動は、数百万もの活動が検出された最盛期当時に比べて相当の減少傾向にあります。しかし、2019年前半には「Greenflash Sundown EK」が再登場するなど、今後もその攻撃が消滅することはないものと考えられます。そのような活動継続中のエクスプロイトキットの例として、「Rig Exploit Kit(Rig EK)」があげられます。ダウンローダ、ランサムウェア、仮想通貨発掘マルウェア、情報窃取型マルウェアなど多様なペイロードを拡散することで知られるRig EKは、侵入および拡散手法に常に調整を施され改良されています。
(さらに…)
サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。
図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ
本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。
続きを読むソフトウェア開発企業「Atlassian」は、2019年3月、広く利用されているコラボレーションソフトウェア「Confluence」の2つの脆弱性に関するセキュリティ勧告を公開しました。トレンドマイクロは、2019年4月、問題の脆弱性の1つ「CVE-2019-3396」を利用する攻撃を確認しました。CVE-2019-3396は、Confluenceのインスタンスでパストラバーサルと遠隔からのコード実行が可能になる脆弱性です。同じ脆弱性が利用された事例として、セキュリティ企業「Alert Logic」は、暗号化型ランサムウェア「Gandcrab」を作成する攻撃について報告しています。
続きを読むトレンドマイクロは、可能な限り多くのPCとサーバに仮想通貨発掘ツールを送り込むために複数の拡散手法を使用するマルウェアが実際にアジアを中心に拡散していることを確認しました。このマルウェアが2019年の初めに中国で確認された際には、ネットワークを介して拡散する手法として、辞書攻撃、「pass the hash」攻撃、Windows管理ツールの利用、総当たり攻撃が確認されていました。これらに加え、今回トレンドマイクロが日本で新たに確認した事例では、端末への侵入と検出回避のために脆弱性攻撃ツール「EternalBlue」とPowerShellが利用されていることが判明しました。
(さらに…)
トレンドマイクロは、ハニーポットから収集したデータの分析を通して仮想通貨発掘マルウェアをデプロイする活動を確認しました。この仮想通貨発掘マルウェアは、リポジトリホスティングサービス「Docker Hub」で公開されているDockerイメージを悪用した不正なコンテナとしてデプロイされていました。このイメージは仮想通貨発掘マルウェアを送り込む不正なサービスの一部として悪用されます。また、仮想通貨の発掘の他に、ネットワークスキャンツールを利用して露出したコンテナおよびアプリケーションを検索する活動も確認されました。Dockerは適切な設定のためのベストプラクティスを公開していますが、今回の調査で使用したハニーポットにはセキュリティ対策は実施していません。コンテナに含まれるアプリケーションではなくDocker自体を狙った攻撃を捕捉するために初期設定のまま構築されています。
続きを読むトレンドマイクロは、2019年1月下旬から2月上旬にかけて、ハッキングツール「RADMIN」をインストールし、Windowsディレクトリにランダムに命名されたファイルを作成する攻撃の増加を確認しました。また、RADMINに感染した端末のいくつかではマルウェア「MIMIKATZ」も検出されました。当初はこれら2つのマルウェアには関連が無いように思われましたが、解析の結果、最終的に仮想通貨「Monero」を発掘するマルウェアの亜種を送り込む一連の攻撃であることが判明しました。MIMIKATZは、WindowsのSMB Serverの脆弱性を利用して拡散するために、開放された445番ポートをスキャンします。Microsoftは、2017年3月に問題の脆弱性に対する修正プログラム「MS17-010」を公開しています。
続きを読む仮想通貨人気が続く中、サイバー犯罪者はさまざまな仮想通貨発掘マルウェアを開発し、継続的に微調整を加えながら攻撃に利用しています。事実、トレンドマイクロは、広範なプラットフォームおよびデバイスで一貫して仮想通貨発掘マルウェアを検出しています。
2018年10月には、Linux PC に感染する仮想通貨発掘マルウェア(「Coinminer.Linux.KORKERDS.AB」として検出)が確認されました。このマルウェアには、不正な仮想通貨発掘プロセスを監視ツールから隠ぺいするルートキットコンポーネント(「Rootkit.Linux.KORKERDS.AA」として検出)が付属しています。これにより、ユーザは不正なプロセスの存在に気付くことが困難になり、感染を示す兆候は PC のパフォーマンス低下のみとなります。また、このマルウェアは、自身とその設定を更新する機能も備えています。
続きを読むトレンドマイクロは、コンテナ型仮想環境を提供するソフトウェア「Docker Engine Community 版」における設定の不備を悪用し、仮想通貨発掘マルウェア(「Coinminer.SH.MALXMR.ATNE」として検出)を拡散する攻撃を確認しました。感染 PC では Docker API が使用するポート「2375/TCP」および「2376/TCP」がインターネットに露出していました。
図 1:2375 番または 2376 番ポートで確認された攻撃
(さらに…) 続きを読む