サイバー犯罪者集団がAlibaba ECSインスタンスをクリプトジャッキングに悪用する手口を解説

投稿日:2021年12月2日
脅威カテゴリ:クラウド, 攻撃手法
執筆:Trend Micro

オンプレミス、クラウド環境を問わず、攻撃者が設定ミスのあるLinuxサーバを積極的に侵害していることは知られています。侵害されたサーバは、暗号資産（旧：仮想通貨）「Monero」を採掘する活動（マイニング）を中心としたクリプトジャッキングの目的に悪用されることがほとんどです。悪名高い事例の1つとして、クラウドサービスへの攻撃活動に重点を置いた最初のハッキンググループの1つである「TeamTNT」が挙げられます。

クリプトジャッキングが蔓延る戦場は、KinsingやTeamTNTを含めた複数の攻撃者グループによって共有されています。彼らのコード内における2つの共通した特徴は、同じ感染マシン内で暗号資産を採掘している別のコインマイナーを削除することと、感染マシン内で発見したセキュリティ機能を無効化することです。これらの機能により攻撃者は、Huawei Cloudのシステムを対象に高度なサニタイジング処理（無害化）が実行された事例のように、乗っ取ったリソースに対して優位に立つことができます。

本ブログ記事では、トレンドマイクロが複数のペイロードで確認した1つの共通する仕組みである、Alibaba Cloudが提供するクラウドサービス内の機能を無効化する手口に焦点を当てます。加えて、複数の攻撃者やマルウェアがAlibaba Cloud（別称：Aliyun）を標的と定めた理由や、これらの不正な採掘活動がAlibaba Cloudユーザに与える影響についても考察します。

(さらに…)

サイバー犯罪者集団「TeamTNT」、高度化させた攻撃ツールでクラウド上のKubernetesやGPU環境を攻撃する手口を解説

投稿日:2021年12月1日
脅威カテゴリ:クラウド, 攻撃手法
執筆:Trend Micro

本ブログではこれまでに、サイバー犯罪者グループ「TeamTNT」が、暗号資産（旧仮想通貨）採掘ツール（コインマイナー）のペイロードや認証情報を窃取するマルウェアを展開するために、保護されていないRedisインスタンスやインターネット上に露出したDocker API、脆弱なKubernetesクラスタをどのように標的と定めてきたかを解説しました。TeamTNTは現在も、自身のキャンペーンで侵害したクラウド環境を悪用して活発な攻撃活動を続けています。トレンドマイクロは今回、TeamTNTの新たなキャンペーンで使用された検体を解析して、サイバー犯罪への最近の取り組みについて調査分析しました。さらに以前の展開活動と比較することで、同グループがアップグレードされたツールやペイロードを使用していることを確認しました。

(さらに…)

サイバー犯罪者集団「TeamTNT」がDocker hubアカウントを悪用してコインマイナーを拡散する手口を解説

投稿日:2021年11月30日
脅威カテゴリ:クラウド, 攻撃手法
執筆:Trend Micro

トレンドマイクロは脅威動向調査の一環として、攻撃者が積極的に悪用する脆弱性や設定の不備を注意深く監視しています。頻繁に悪用される設定の不備の1つに、インターネット上に露出したDocker REST APIがあります。

2021年10月トレンドマイクロは、Docker REST APIを露出させた不適切な設定状態にあるサーバを標的として、以下のような悪意のあるスクリプトを実行するイメージからコンテナを起動（スピンアップ）させる攻撃活動を観測しました。

暗号資産「Monero」を採掘するツール（コインマイナー）をダウンロードまたは同梱する
よく知られた手法を用いてコンテナ経由でホストを侵害する「コンテナエスケープ」攻撃を実行する
侵害されたコンテナから露出したポートに対するインターネット全体のスキャンを実行する

(さらに…)

休止と再開を繰り返す「QAKBOT」の新たな攻撃手法

「QAKBOT（別名QBOT）」は広範囲に流行している情報窃取型マルウェアで、2007年に初めて確認されました。近年では、QAKBOTの検出が、多くの深刻なランサムウェア攻撃の前兆となっていることが確認されています。QAKBOTは、今日の多くのサイバー攻撃活動を可能にしているビジネス「マルウェアをインストールするサービス（malware installation-as-a-service）」の主力ボットネットであることもわかっています。このような初段の侵入で使用されるボットは、数カ月月単位で活動休止する場合があることが知られています。今年1月末のテイクダウンから10カ月月振りにEMOTETが活動を再開したことは11月18日の記事でお伝えしていますが、本記事で取り上げるQAKBOTも、約3カ月の休止期間を経て、2021年9月末からスパムメール送信活動の再開が確認されました。具体的には、マルウェアスパムの配信業者である「TR」が、別のマルウェアローダーである「SquirrelWaffle」やQAKBOTへ誘導する悪質なスパムメールを送信していたことが確認されています。また、10月上旬には、同じ「TR」がIMAP（Internet Message Access Protocol）サービスにブルートフォース攻撃を実行していたと報告されており、セキュリティリサーチャーの間では、「TR」が攻撃に必要な認証情報を取得するために「ProxyLogon」(Microsoft Exchange Serverの脆弱性)を使っているのではないかという憶測も流れています。

図1： QAKBOT関連のマルウェアスパムの検出推移（2021年5月10日～10月25日）
6月下旬から9月中旬までマルウェアスパムが出回っていなかったことがわかる

(さらに…)

通信事業者を装ったSMSから感染を広めるモバイルマルウェア「TianySpy」を確認

携帯電話のテキストメッセージ（SMS）がサイバー犯罪への誘導経路として悪用される事例が続いています。トレンドマイクロでは、この2021年9月30日頃から、通信事業者を装ったSMSから誘導される偽サイトにより、AndroidおよびiPhoneの双方を標的として最終的にマルウェア感染させられる事例を確認しました。このマルウェアに感染した場合、大手通信事業者サイトの認証情報を窃取される危険性があります。これまでに確認されてきた偽装SMSを発端にマルウェア感染を目的とする攻撃ではAndroid端末が対象となっていましたが、iPhoneについてもその対象とする攻撃は初めてと言えます。同様の攻撃に関しては一般財団法人日本サイバー犯罪対策センター（JC3）からも注意喚起が公開されており、注意が必要です。

図 1：今回確認された不審SMSの例（実物を元に再構成）

(さらに…)

クラウドネイティブアプリケーションにおける脆弱性の現状について解説

投稿日:2021年11月25日
脅威カテゴリ:対策技術, クラウド, 脆弱性
執筆:Trend Micro

クラウドネイティブとは何を意味するのでしょうか。Linux Foundationによるプロジェクト傘下でコンテナ技術推進などを目的に2015年に創設された財団「The Cloud Native Computing Foundation（CNCF）」によると、クラウドネイティブのテクノロジーとは、企業や組織がクラウド環境やオンプレミスアーキテクチャを駆使することで、ソリューションを発展させるのに役立つ技術と定義しています。

現在のビジネス環境では、特にコロナによるパンデミックがデジタルトランスフォーメーションを加速させている中、企業や組織は、コンテナおよび「コードとしてのインフラ（Infrastructure as Code）」を含むクラウドネイティブテクノロジーを迅速に導入しています。こうした中、クラウドネイティブ環境でのセキュリティ対策は、クラウドアプリケーションを利用したプロジェクトが世界中のさまざまな企業や組織で使用されていることから大きな懸案の1つとなっています。これらのアプリケーションを使用している企業や組織は、アプリケーションにおける相互依存関係に脆弱性が存在するだけで、システム全体に影響を及ぼし、場合によってはアプリケーションが関わるクラスター全体が危険にさらされる可能性があることを認識する必要があります。

その他、例えば、クラウドネイティブプロジェクトのほとんどは、オープンソースのソフトウェアである各種ライブラリおよびそれらの関係性に依存しています。これらのライブラリは、通常、開発ライフサイクルの中で組み込まれ、アップデートや既知の脆弱性のチェックが行われることはほとんどありません。こうした現状も、クラウド資産へのセキュリティ侵害につながる可能性があります。

本稿では、クラウドネイティブアプリケーションへのセキュリティ対策における脆弱性を整理し、企業や組織が時間とリソースを割いてセキュリティ対策を講じるべき懸念事項がいかに拡大しているかを示します。

(さらに…)

電子メールサービスの特性を悪用する様々なビジネスメール詐欺の手口を解説

投稿日:2021年11月22日
脅威カテゴリ:メール, 攻撃手法
執筆:Trend Micro

「DX（デジタルトランスフォーメーション）」や「2025年の崖」など新たなデジタル世界への対応と変革が推進される中、これらの変化を悪用する多くのオンライン攻撃や脅威が被害を拡大させています。同様に、ビジネスメール詐欺（Business Email Compromise、BEC）は、被害者の数を減少させているにもかかわらず、依然として法人組織に最も大きな金銭的損失をもたらすサイバー犯罪の1つとして確認されています。トレンドマイクロは、BECの脅威動向を継続的に監視するなかで、2021年1～9月にかけて検出数が増加していることを観測しました（図1）。

図1：2021年1～9月に検出されたビジネスメール詐欺増加率の推移（グローバル）
トレンドマイクロのクラウド型セキュリティ技術基盤
「Smart Protection Network（SPN）」のデータに基づく

(さらに…)

テイクダウンされた「EMOTET」が活動再開

今年1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。当ブログでも2月1日の記事でお伝えしておりましたが、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバ（C&Cサーバ）などの活動再開を確認しています。

図：「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだWord文書ファイルの例

(さらに…)

2021年11月のセキュリティアップデート解説：Microsoftが55件のパッチを公開

投稿日:2021年11月16日
脅威カテゴリ:脆弱性
執筆:Zero Day Initiative (ZDI)

今月の第2火曜日となった2021年11月9日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。

(さらに…)

悪用された脆弱性上位をCISAが公表、テレワーク関連が顕著

投稿日:2021年11月15日
脅威カテゴリ:対策技術, 脆弱性
執筆:Trend Micro

2021年7月28日、米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency （CISA）は、2020年と2021年に悪用された脆弱性の上位を詳述した報告書を公開しました。報告書によると、攻撃者が狙う新しい標的は、2019年以降に公開されたテレワーク（リモートワーク）、VPN（Virtual Private Network）、そしてクラウドベースの技術に関連する脆弱性です。新型コロナウイルスによってクラウド化が進むとともにサイバー攻撃者もターゲットをクラウドに移動しています。攻撃者はテレワークに関連したパッチ未適用の新しい脆弱性を狙い、防御する側は定期的なパッチの適用に奮闘してきました。攻撃者が脆弱性の悪用に成功すると、リモートコード実行（RCE）、任意のコード実行、パストラバーサルなどの手法により対象システムがコントロールされることになります。

(さらに…)

Page 1 of 24112 › »