オンライン銀行詐欺ツール「DRIDEX」は、2016年5月にはわずか数日間の活動が確認された程度であったため、一見すると減少傾向にあると思われました。これは過去5ヶ月間の「DRIDEX」の活動から見ても不自然な現象でした。案の定、減少傾向と見られたのは「中断」に過ぎなかったようで、2016年5月25日、トレンドマイクロでは「DRIDEX」を拡散するスパムメールの急増を確認しました。このスパムメール送信活動では、主に米国、ブラジル、中国、ドイツ、日本のユーザが影響を受けました。ただし日本国内のネットバンキングを狙った「DRIDEX」はまだ確認できておらず、日本に関してはスパムメールの流れ弾的な流入であるものと言えます。
ボットネットやコマンド&コントロール(C&C)サーバが閉鎖されたとしても、サイバー犯罪活動が一掃されるわけではありません。2013年12月5日のボットネット「ZeroAccess」の閉鎖は、ボットネットのクリック詐欺活動に影響を与えはしたものの、感染の確認は続きました。DRIDEX についても同様で、2015年10月13日、複数の C&Cサーバが閉鎖されたにも関わらず、現在も企業や組織に大きな影響を与える脅威です。トレンドマイクロでは、この DRIDEX の2015年脅威状況について「2015年 年間セキュリティラウンドアップ」で報告しています。
続きを読む2015年10月13日、オンライン銀行詐欺ツール「DRIDEX」のコマンド&コントロール(C&C)サーバ間のネットワークが米国と英国の法執行機関によって閉鎖されました。しかし、その後 1カ月間で「DRIDEX」は着実に復活しつつあります。C&Cサーバの閉鎖は、ボットネットの活動を不能にするための重要な一歩であるものの、すべてのインフラストラクチャを停止し、攻撃者グループ全員を逮捕しない限りは、「DRIDEX」のような脅威はいずれ復活します。そのためにも、閉鎖後も脅威の監視を続け、法的機関と協働し、最終的にはサイバー犯罪を撲滅するのがセキュリティリサーチャーの役割です。トレンドマイクロは、2015年11月、英国の国家犯罪対策庁(National Crime Agency、NCA)のサイバー犯罪者逮捕に貢献しました。弊社では、こうした取り締まりによるサイバー犯罪者逮捕への協力を可能な限り最優先としています。
続きを読むオンライン銀行詐欺ツール「DRIDEX」に利用された複数のコマンド&コントロール(C&C)サーバ間のネットワークが、2015年10月13日(現地時間)、米連邦捜査局(FBI)によって閉鎖されました。最初に英国の国家犯罪対策庁(National Crime Agency、NCA)が C&Cサーバへの通信への対応策を講じ、その後 FBI による閉鎖へと至りました。
続きを読むトレンドマイクロのManaged XDRチーム(以下、MDRチーム)では、ランサムウェア「LockBit」をペイロードとしてドロップするために攻撃者によって利用されたローダ型マルウェア「BLISTER」による用心深い挙動を観測しました。MDRチームでは、緻密な監視と迅速な対応によって、双方におけるペイロードの実行を阻止しました。
BLISTERとSocGholishは共にステルス性が高く、有害なペイロードを送りこむ際に検出回避を試みる手口で知られています。特に、攻撃キャンペーンで一緒に利用されることで知られており、SocGholishの侵入後、BLISTERが第二段階としてメインのペイロードをドロップする形で攻撃が行使されてきました。両者を組み合わせることで、攻撃者は巧みに検出を回避し、メインとなるペイロード(特に今回はLockBit)を標的に向けてドロップ・実行しようとします。今回の調査では、これら第一段階のマルウェアが事前に阻止されなかった場合に何が引き起こされるのかを解説します。
続きを読む2月28日のブログ記事において、日本国内で確認された古いExcel4.0マクロを利用した攻撃について報告しました。この攻撃の背後には特定のサイバー犯罪者集団の存在が推測されていますが、トレンドマイクロでは過去2ヶ月間に行われた同一のサイバー犯罪者集団によるものと考えられる新たな攻撃を徹底的に追跡し、様々な攻撃手法を確認しました。このサイバー犯罪者集団はさまざまなマルウェアを利用して複数の金融機関や小売企業を狙った攻撃を続けており、セキュリティ企業「Proofpoint」によって「TA505」と名付けられた集団と同一と考えられます。最新の活動では主に韓国のユーザに狙いを定め、HTML形式の添付ファイルを使って遠隔操作ツール(Remote Access Tool、RAT)「FlawedAmmyy RAT」のダウンローダへ誘導する不正な.XLSファイルを拡散したことが確認されました。
続きを読む2018年において、ランサムウェアによる攻撃は減少傾向にありましたが、最近は再び元の勢いを取り戻しつつあるようです。しかしながら、今回確認されたランサムウェア攻撃は以前のようなばらまき型の攻撃に比べると標的を絞っているように見受けられます。身代金要求文書に社名が記載された米国の飲料会社に対するランサムウェア攻撃のニュースが発表された直後、トレンドマイクロは米国の製造会社を攻撃した暗号化型ランサムウェア「BitPaymer」の亜種(「Ransom.Win32.BITPAYMER.TGACAJとして検出)を調査しました。飲料会社の事例と同様に身代金要求文書に社名が記載されていたことから、この事例も標的型の攻撃だった可能性があります。
(さらに…)
トレンドマイクロは、2017年8月、感染 PC にさまざまなマルウェアを拡散するマルウェア「EMOTET(エモテット)」の新しい亜種(「TSPY_EMOTET.AUSJLA」、「TSPY_EMOTET.SMD3」、「TSPY_EMOTET.AUSJKW」、「TSPY_EMOTET.AUSJKV」として検出)の急増を確認しました。弊社が、2014 年 6 月に初めて EMOTET を確認した際には、このマルウェアはネットワーク監視による情報収集機能を備えたオンライン銀行詐欺ツールでした。
続きを読む
