2021年4月上旬、トレンドマイクロは、新種の情報窃取型マルウェア「Panda Stealer」がスパムメールを介して拡散されていることを確認しました。トレンドマイクロの調査では、主に米国、オーストラリア、日本、ドイツに対して、このマルウェアがスパムメールによる感染拡大活動で大きな被害を与えていることがわかりました。Panda Stealerは情報窃取型マルウェア「Collector Stealer」が改変された亜種であり、改変前の手口と同様に検出機能を回避するために拡散手法にファイルレス活動を利用します。
続きを読むこの記事では、個人またはハッキンググループによって行われたInstagramアカウントハッキングの攻撃キャンペーンを検証します。本記事で検証する攻撃キャンペーンの背後にいたサイバー犯罪者は、最大の効果を得るためにソーシャルメディアのインフルエンサーを狙っていました。これは過去の攻撃キャンペーンでも見られた手口です。インフルエンサーは何百万人ものフォロワーを抱えており大きな影響力を持っていることからサイバー犯罪者の標的になりやすいものと言えます。一方インフルエンサー個人にとっては、SNSを通じた企業案件やアフィリエイト、その他の方法で収入を得ていることが多いため、アカウントが侵害された際の損失は非常に大きくなります。そしてサイバー犯罪者が狙うのはインフルエンサーだけではありません。Facebook、Twitter、InstagramなどのSNSは、プライベートやビジネスで多くの人が利用しています。Instagramだけでも、実に毎月10億人以上のユーザが利用しており、これは、現在の世界人口の約8分の1に相当します。そして、ハチが蜜を求めて花に集まるように、サイバー犯罪者もハッキングや恐喝の獲物を求めてこれらのサイトに集まってきます。近年では、こういった企てに関連するさまざまなグループや手口が確認されています。利用者にとって、InstagramなどSNSアカウントを狙うハッカーの手口を知ることは、自分のアカウントを守る方法を知ることに繋がります。セキュリティリサーチャーの観点からInstagramアカウントを狙ったハッキング事例を考察し、Instagramやその他のソーシャルメディアプラットフォームのユーザへ向けた推奨事項を紹介します。
図1:Instagramの認証情報を狙うフィッシングページの例
続きを読むトレンドマイクロは、「Core Virtual Machine Server (CVMServer) 」に存在するmacOSの脆弱性を確認しました。「CVE-2021-30724」が割り当てられた当該脆弱性は、整数オーバーフローにより境界を超えるメモリアクセスを発生させ、そこから特権昇格が可能となるものです。この問題は古いバージョンのmacOS Big Sur 11.4、iOS 14.6、およびiPadOS 14.6が動作するデバイスに影響します。
この脆弱性はすでにApple社によって修正済みとなっています。本記事では、この脆弱性が確認された経緯や、脆弱性が誘発される条件について説明します。
続きを読む7月21日、東京オリンピック関連と目されるファイル名「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」が付けられたマルウェアについての情報が流れました。一部では注意喚起なども行われておりトレンドマイクロにも問い合わせが入っておりますので、現時点までに確認できた内容を本ブログ記事でお知らせします。本件について確認できた検体は2種あり、トレンドマイクロでは「VIGILANTCLEANER」および「VIGILANTCHECKER」の検出名で対応しています。つけられたファイル名やPDFファイルのアイコン偽装を行っている点から考えると、東京オリンピック開会直前のタイミングで関連組織を狙った標的型メール攻撃などの目的で作成された様子がうかがえますが、現在のところ問題のファイルの拡散経路などの詳細は確認できておらず一般に拡散している形跡もないことから、訓練用サンプルや単なるいたずら目的等の可能性もあるものと言えます。
続きを読む※7月26日更新 (当初公開日7月19日)
7日26日の時点でも、引き続き同種の不審スポーツ中継サイトへ誘導する偽装ページがWeb検索で確認されています。偽装ページは正規サイトの改ざんもしくは乗っ取りによる投稿の手口は変わっていませんが、誘導先はブラウザ通知スパムに加え、不審サイト上で動画視聴のためと称してメールアドレスなどの個人情報を登録させる手口も確認しました。今後も同様の不審サイトへの誘導手口が継続するものと考えられます。騙されないためにもこのような手口に対する注意が必要です。
図:7月26日時点で確認した不審スポーツ中継サイトへの誘導を行うWebページの例
本文はニュース記事などをコピーしたものと推測される
図:誘導先の不審スポーツ中継サイトの例
図:別の不審スポーツ中継サイトの例
視聴のために会員登録を促す
続きを読む
2021年1月、トレンドマイクロは暗号化したファイルに拡張子「HELLO」を付加する新種のランサムウェアを発見しました。この新たなランサムウェアファミリは、「HELLO RANSOMWARE」(別名:「WICKRME」)と呼ばれ、別名はサイバー犯罪者との連絡に使用されたチャットアプリケーション「WickrMe」から命名されました。Helloランサムウェアのこれまでの亜種は .heming や .strike などの拡張子を付加することが確認されていますが、サイバー犯罪者が使用するWickrMeのユーザ名は含まれていませんでした。.Helloの拡張子がついた新しいバージョンの身代金要求文書(図2)には、WickrMeの連絡先が記載されるようになりました。このランサムウェア攻撃の侵入経路としては、Microsoft SharePoint serverの脆弱性(CVE-2019-0604)を利用する攻撃が考えられます。
WickrMeの連絡先や明確な要求金額が記載されていない.png)
WickrMeの連絡先や明確な要求金額が記載されていない
攻撃者集団「Iron Tiger」による東南アジアのギャンブル企業を標的とした攻撃キャンペーン「Operation DRBControl」が確認されてから1年以上が経過しましたが、この度「Iron Tiger」が引き続きギャンブル業界を狙っている証拠が新たに確認されました。
このブログ記事では、Iron Tigerが攻撃に使用するツールキットが更新され、従来3つのファイルを使用して感染させるマルウェアであった「SysUpdate」が5つのファイルを使用するものへ変更された点について解説します。また、これまでに確認されている類似の「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」から考察される他の攻撃者グループとの関連性について説明します。最後に、Iron Tigerが使用するルートキットについて解説します。中でもカーネルレベルでファイルを隠蔽するために使用されるルートキットは、これまでIron Tigerによる使用が確認されていなかったものです。
続きを読むトレンドマイクロは、Linuxなどで採用されるシェル「Bash」を使ったランサムウェア「DarkRadiation」を確認しました。このランサムウェアは攻撃にBashスクリプトを利用しているものの、そのスクリプト自体はまだ開発途中であると当社は推測しています。攻撃で使用されるコンポーネントの多くは、主に「Red Hat」および「CentOS」向けのLinuxディストリビューションを対象としていますが、一部のスクリプトには、「Debian」向けのLinuxディストリビューションも含まれていました。また、これらのワームやランサムウェアのスクリプトでは、コマンドアンドコントロール(C&C)の通信にメッセージングアプリケーション「Telegram」のAPIを使用していました。さらにまた、攻撃で使用されたコンポーネントほとんどは「Virus Total」での検出数が非常に少ないことも確認されました。実際、これらのランサムウェアの情報が記載されたハッキングツールのURLは、当初Twitter上で報告されていただけでした。
本記事では、今回扱うランサムウェアおよびランサムウェアの展開に使用された「Secure Shell(SSH)ワーム」、そしてこれらが格納されているディレクトリ「api_attack/」を解析した結果を説明します。
図1:ランサムウェア「DarkRadiation」感染時に表示される画面の例
続きを読むLinuxを標的とする脅威の増加は、「Windows以外のOSはマルウェアに感染しにくい」といった俗説を覆しました。Linuxが攻撃者に狙われるようになると、Ngrokのようなローカル環境で実行しているアプリケーションを外部公開するサービスを悪用したり、競合する別のマルウェアを強制停止させる機能を利用したりと、脅威が高度化していく様子が見られるようになりました。
本記事では、Linuxシステムを標的とする攻撃者の間で新たに採用されている手口について解説します。今回トレンドマイクロでは、Infrastructure as Code(IaC)ツールを悪用する手口を特定しました。これはマルウェアの拡散にIaCツールの悪用が確認された初のケースと言えます。また今回解説する手口の中には、Socks5プロトコルを使用したプロキシ経由のネットワークを介したTor(The Onion Router)の使用、正規DevOpsツールの悪用、アーキテクチャに応じた後続のマルウェア検体のダウンロード、競合する暗号資産採掘ツール(コインマイナー)の削除や無効化のほか、マルウェア検出や解析を回避する機能が含まれます。
続きを読む
