イギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
続きを読むトレンドマイクロでは以前から「Pawn Storm(別名:APT28、Sofacy、Sednit、STRONTIUM、Fancy Bear等)」として知られる攻撃者グループを調査しており、今年1月のブログ記事などでその活動を報告してまいりました。今回2018年10月中旬以降、この攻撃者によるものと考えられる攻撃キャンペーンを確認しました。
該当の攻撃では、11月初旬より日本国内の複数の組織に対して、英語文面による不審なメールが送信されています。弊社にて、それらのメールの添付ファイルを詳細に調査したところ、Pawn Stormが用いるバックドアとして知られる「Zebrocy」(ゼブロシー)の感染へと至ることを確認しました。トレンドマイクロではこれまで、Pawn StormがNATOや東欧を標的にしてきたことを報告していますが、その攻撃対象に日本も追加されたものと考えられます。
続きを読むサイバー攻撃者集団「Pawn Storm」は、2017 年後半も諜報活動を目的とする積極的なサイバー攻撃を続けていました。Pawn Storm は「Sednit」、「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM」という別名でも知られています。通常、Pawn Storm の攻撃には過去の事例との関連が見られ、新しい攻撃で利用された技術やその動機を注意深く調べていくと、以前の攻撃とのつながりが浮かび上がってきます。
続きを読む攻撃者集団「Pawn Storm」は、「Sednit5」や「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM8」などのさまざまな名称で呼ばれていますが、実際には、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきた同一のサイバー攻撃者集団を指します。Pawn Stormは、情報窃取型マルウェア「SEDNIT」に誘導する標的型メールや脆弱性を突く攻撃手法、そして特に認証情報を窃取するフィッシング攻撃などを効果的に組み合わせ、同じ標的に対してさまざまな角度から攻撃を仕掛けることで攻撃目標を達成してきました。
続きを読むトレンドマイクロは、2014 年に初めて標的型サイバー攻撃「Pawn Storm作戦」について報告して以来、本ブログ上でこの攻撃の背後にいるサイバー犯罪集団「Pawn Storm」に関連する事例を報告してきました。Pawn Storm は 2004 年以降サイバー諜報活動を積極的に実行している集団です。この集団は標的から情報を窃取するためにさまざまな手法を用いることが確認されており、特に、認証情報を狙ったフィッシング攻撃でよく知られています。2016 年には、米国の「Democratic National Committee(民主党全国委員会、DNC)」、ドイツの政党「キリスト教民主同盟(CDU)」、トルコ政府および議会、モンテネグロ議会、「World Anti-Doping Agency(世界アンチ・ドーピング機構、WADA)」、カタールの衛星テレビ局「Al Jazeera(アルジャジーラ)」など、多くの組織に対してフィッシング攻撃が実行されました。2015 年から 2016 年にかけては、無料メールを利用する重要人物が標的となりました。
続きを読む2015年末、トレンドマイクロは「2016年はネット恐喝の年になる」と予測しました。この予測は、早くも 2016年第1四半期に現実のものとなり、その後、2016年末までランサムウェア事例は急増し続け、個人だけでなく、病院、大学、公共交通機関、法執行機関までが被害に遭う現実を目の当たりにしました。また、2016年には大規模情報漏えいが矢継ぎ早に発生し、情報の保護がいかに脆弱であり、サイバー犯罪者に簡単にアクセスされる現実を思い知らされました。
これら 2016年の事例に基づき、企業は、2017年、どのような点に注意してサイバーセキュリティ対策を講じるべきでしょうか。
続きを読むゼロデイ脆弱性を利用する攻撃ツールは、その脆弱性が修正されればたちまち威力を失います。攻撃者は、更新プログラムが公開されてしまう前に、自身の攻撃ツールを最大限に活用しようと考えるようです。そのような例として、トレンドマイクロは、2016年10月末と 11月初旬に、諜報活動を目的とした集団「Pawn Storm」が、世界中の政府機関や大使館を狙った標的型攻撃を活発化するのを確認しました。標的型サイバー攻撃キャンペーン活動で知られる Pawn Storm は、「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM」という別名でも知られています。Pawn Storm は、Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2016-7855」を、Microsoft Windows のオペレーティングシステム(OS)の抱える権限昇格の脆弱性「CVE-2016-7255」と組み合わせて攻撃に利用します。なお、「CVE-2016-7855」の更新プログラムは 2016年10月26日に、「CVE-2016-7255」の更新プログラムは 2016年11月8日に公開されました。
続きを読む2015年4月、標的型サイバー攻撃キャンペーン「Pawn Storm作戦」が、情報窃取型不正プログラムを利用し独連邦議会の PC を攻撃したことが報道されました。Pawn Storm作戦によるドイツへの政治的攻撃が確認されたのはこの時が初めてでしたが、その1年後、この諜報活動を目的とした集団による攻撃が再び確認されました。
続きを読む標的型サイバー攻撃キャンペーン「Pawn Storm作戦」は、2007年以降、経済および政治的な諜報活動を目的としたサイバー攻撃を活発に実行しています。この作戦で標的となった人物および組織は、これまで、軍事機関や外交機関、報道関係者、反体制関係者、ソフトウェア開発者など多岐に渡っています。今回トレンドマイクロは、トルコの首相官邸および議会を含む複数の政府関連機関、そして、同国大手新聞社が攻撃を受けたのを確認しました。
続きを読む標的型サイバー攻撃キャンペーン「Pawn Storm作戦」は、2007年頃から活動が確認されて以来、経済および政治的な諜報活動を目的としたサイバー攻撃を実行し、政府機関や民間組織を標的にして機密情報を窃取してきました。トレンドマイクロでは、2014年10月にこの標的型サイバー攻撃を報告し、2015年に入ってからも、弊社の継続した調査を元に確認した事例を本ブログを通じて報告しています。
そして、今回、マレーシア航空17便(MH17)の墜落事故についての国際調査団を主導する「Onderzoeksraad(オランダ安全委員会)」がこの「Pawn Storm作戦」の標的となっていることが判明しました。
続きを読む