ホーム » Search results for: RAT

Operation Earth Kitsune：新たなバックドア2種と連携する攻撃手法について解説

本ブログでは2020年11月24日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連のキャンペーンについて言及するとともに、その後の継続した調査により確認された、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たな拡散活動（キャンペーン）の調査結果をまとめたホワイトペーパーについても要約する形で報告しました。弊社トレンドマイクロは、新たに確認されたキャンペーンを「Operation Earth Kitsune」（アースキツネ）と命名しました。新たなキャンペーンでは、過去のキャンペーンでも使用されたSLUBが多用されていたほか、当該キャンペーンと連携してスパイ活動を行う2種の新たなバックドア型マルウェア「agfSpy」および「dneSpy」の感染も確認されました。これら2種のバックドアは、攻撃者が割り当てる命名規則に倣う形で、最初の3文字を用いて命名されました。

過去に実施した一連のキャンペーンに関する調査では、SLUBは主にデータ窃取の目的に使用されていた一方で、新たなキャンペーンで確認されたagfSpyおよびdneSpyは、データ窃取のほかに感染端末の制御、つまり遠隔操作のためにも使用されていたことが確認されました。本ブログ記事では、新たなキャンペーンで使用されたSLUB、dneSpy、agfSpyの3種のバックドアに関する情報に加え、これらのバックドアが通信するコマンドアンドコントロール（C＆C）サーバとの連動性や、Operation Earth Kitsuneに関連する不正活動の詳細について解説します。

図1は、この水飲み場型攻撃におけるバックドア感染までの流れを簡潔にまとめたものです。弊社は、スパイ活動を行うバックドアの通信活動を分析することで、指示を送信する5つのC＆Cサーバを特定することができました。

(さらに…)

バックドア「SLUB」による新たなサイバー攻撃キャンペーン「Operation Earth Kitsune」

本ブログでは2019年3月14日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連の拡散活動（キャンペーン）に関する調査結果について詳説しました。そしてその後の継続した調査により、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たなキャンペーンを確認しました。トレンドマイクロではこの新たなキャンペーンを「Operation Earth Kitsune」（アースキツネ）と命名し、2020年10月には調査結果をホワイトペーパー（英語）としてまとめ、公開しました。バックドアSLUBの名称は、コミュニケーションプラットフォーム「Slack」とリポジトリホスティングサービス「GitHub」を悪用していたことから命名されたものですが、新たなバージョンのSLUBではどちらのプラットフォームも悪用されていません。代わりに、オンプレミスでも簡単にデプロイ可能なオープンソースのオンラインチャットサービス「Mattermost」が悪用されました。弊社では、プラットフォームが悪用されている事実について既にMattermost社に報告しています。

(さらに…)

「Lazarus」との関連が指摘されるRAT「DACLS」、macOSも標的に

ワンタイムパスワード（OTP）とは、あるユーザに一定時間で変更される一回のみ利用可能なパスワードを通知することによって、オンラインサービスのセキュリティを高めるための仕組みです。多くの法人ネットワークでは、サードパーティのプロバイダによって提供されるOTPのシステムを利用し、アカウントの侵害によりシステムへ不正侵入されることを防ぐ追加の認証として使用しています。

トレンドマイクロは、2020年4月、macOS向けの正規OTP認証アプリを偽装した「TinkaOTP」というアプリを確認しました。調査の結果、この不正アプリは「DACLS（ダクルス）」と呼ばれる遠隔操作ツール（RAT）に酷似していることがわかりました。DACLSは、2019年12月にセキュリティ企業「360 Netlab」によって報告された、WindowsおよびLinuxをターゲットとするバックドア型マルウェアです。この報告によれば、不正アプリが接続するコマンドアンドコントロール（C＆C）サーバが通信に使用する文字列から、サイバー犯罪集団「Lazarus」との繋がりが示唆されています。 (さらに…)

サイバー攻撃集団「TICK」による「Operation ENDTRADE」

投稿日:2019年12月12日
脅威カテゴリ:サイバー攻撃, 攻撃手法
執筆:Trend Micro

トレンドマイクロは2008年以来、サイバー攻撃集団「TICK（別名：BRONZE BUTLER、またはREDBALDKNIGHT）」を追跡調査しています。2018年11月に入り、彼らのマルウェア開発頻度とその配備が異常に増えていることを検知しました。TICKは、過去に利用したマルウェアに変更を加え検出回避を試みた上に、侵入時の検出回避を試行する新しいマルウェア、そして侵入後の攻撃と情報収集のために管理者権限昇格が可能な新しいマルウェアをも開発していることが確認されました。また、TICKは、正規のEメールアカウントと認証情報を利用してマルウェアを配信し、日本に本社を置き中国に子会社を持つ、防衛、航空宇宙、化学、衛星などの高度な機密情報を有する複数の組織に焦点を絞っています。弊社では、このTICKによる攻撃キャンペーンを「Operation ENDTRADE（エンドトレード作戦）」と名付け、確認した内容をリサーチペーパー「Operation ENDTRADE: TICK’s Multi-Stage Backdoors for Attacking Industries and Stealing Classified Data（英語情報）」にまとめ、詳細を報告しています。

(さらに…)

Android 端末向け不正アプリ「AndroRAT」の新しい亜種、古い権限昇格脆弱性を利用し端末をルート化

投稿日:2018年2月28日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

Android 端末向け不正アプリ「AndroRAT」（「ANDROIDOS_ANDRORAT.HRXC」として検出）の新しい亜種が確認されました。この不正アプリは「Remote Access Tool（RAT）」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化します。この AndroRAT の亜種は、2016 年に公表された脆弱性「CVE-2015-1805」を利用し、権限を必要とするさまざまな不正活動を実行します。CVE-2015-1805 は Marshmallow より前の Android バージョンに影響を与えます。

(さらに…)

サイバー犯罪集団「Lazarus」、改良された「RATANKBA」と遠隔操作ツールを利用し仮想通貨を狙う

投稿日:2018年1月31日
脅威カテゴリ:サイバー犯罪
執筆:Trend Micro

その活動内容によって悪名をはせるサイバー犯罪集団「Lazarus」は、正体に関する謎も相まって多くの関心を集めています。同集団は、2007 年の韓国政府に対する一連のサイバー諜報活動によって登場して以来、大きな被害をもたらした注目すべき標的型攻撃をいくつか成功させており、最近では、広く報道された 2014 年の Sony Pictures における情報漏えいや、2016 年のバングラデシュの銀行に対する攻撃が例として挙げられます。規模と影響の両面で Lazarus の活動の歴史に匹敵する集団はほとんどありません。その大きな理由の 1 つが、Lazarus が利用するツールと手法の多様性にあります。

(さらに…)

オンラインストレージサービスの悪用事例、RAT「ADWIND」などが感染

投稿日:2017年9月11日
脅威カテゴリ:感染媒体
執筆:Trend Micro

トレンドマイクロは、クラウド型オンラインストレージサービス「A360 Drive」がマルウェアの拡散に悪用されていることを確認しました。クラウド型サービスは、マルウェアの拡散やコマンド&コントロール（C&C）サーバとしてサイバー犯罪者によって悪用されてきた経緯があります。本ブログでも、攻撃者集団「WINNTI」が、C&C 通信のために「GitHub」を利用した事例を報告しています。

今回確認された「Autodesk® A360（A360）」を利用した攻撃は、WINNTI の手法に比べて単純で目新しさは無いものの、マルウェアをホストするためにファイル共有サイトを悪用するという点で類似しています。A360 は「チームとプロジェクトの情報をデスクトップ、Web、モバイルデバイスに統合、接続、編成するためのクラウドベースのワークスペース」です。一連の製品群には、「Autodesk® A360 Drive（A360Drive）」と「Autodesk® A360 Team サービス」などが含まれます。個人向けの無料アカウントでは 5GB のストレージを利用することが可能です。ブラウザやデスクトップアプリからファイルをアップロードし、権限に応じて閲覧・編集等が可能なユーザを招待することができます。サイバー犯罪者は、マルウェアを A360 にホストすることにより、疑われずにマルウェアを送り込むことが可能になります。この手法は、収集情報の保存先としてGoogle Drive が利用された攻撃と類似しています。

(さらに…)

各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散

投稿日:2017年7月14日
脅威カテゴリ:不正プログラム, メール, モバイル, TrendLabs Report, 感染媒体
執筆:Threats Analysts - Rubio Wu and Marshall Chen

各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散

サイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム（OS）に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。

今回解説する「ADWIND（アドウィンド）（「JAVA_ADWIND」ファミリとして検出。別名：jRAT）」は、そのようなクロスプラットフォームの「Remote Access Tool（RAT）」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。

(さらに…)

過去最大規模のサイバー諜報活動「Operation Cloud Hopper」、日本も標的に

投稿日:2017年4月13日
脅威カテゴリ:不正プログラム, メール, サイバー攻撃, TrendLabs Report, 感染媒体
執筆:TrendLabs フィリピン

過去最大規模のサイバー諜報活動「Operation Cloud Hopper」、日本も標的に

2017年4月初旬、諜報活動を目的とした大規模な標的型サイバー攻撃キャンペーン「Operation Cloud Hopper（クラウドホッパー作戦）」がセキュリティリサーチャによって最近明らかにされました。この攻撃は、報道によると、攻撃者集団「APT10（別名：「MenuPass」、「POTASSIUM」、「Stone Panda」、「Red Apollo」、「CVNX」）」によって仕掛けられ、「Managed Services Provider（マネージド・サービス・プロバイダ、MSP）」が狙われていました。そして、標的となった企業の資産や取引上の機密情報の窃取を目的としています。本記事では、この最新の脅威の概要と企業が取るべき対策について解説します。

■標的となったのは？
この攻撃キャンペーンは、北アメリカ、ヨーロッパ、南アメリカ、アジアの各地域に影響を及ぼしており、ごく最近では英国、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、そしてオーストラリアの MSP が標的とされたことが報じられています。

MSP はさまざまな顧客企業のアプリケーション、ネットワーク、システムインフラストラクチャを管理しています。MSP への攻撃における真の標的はそれら顧客企業であったと考えられます。真の標的となった業種は、エンジニアリング、工業生産、小売、電力、薬剤、通信、政府等、多岐にわたるものと推測されています。

(さらに…)

徹底解析：大規模な水飲み場型攻撃で利用された「RATANKBA」

投稿日:2017年3月7日
脅威カテゴリ:不正プログラム, サイバー犯罪, サイバー攻撃, 脆弱性, TrendLabs Report, Webからの脅威, 改ざん
執筆:Trend Micro

徹底解析：大規模な水飲み場型攻撃で利用された「RATANKBA」

2017年2月初旬、いくつかの金融機関で利用するワークステーションがマルウェアに感染したと報告されました。マルウェアは、明らかに正規の Webサイトから拡散されていました。この攻撃は、正規の Webサイトを改ざんし、標的に選んだ各業界組織のコンピュータに感染させることを目的とした、大規模なキャンペーンの一環であったことが判明しました。この手口は通常、「水飲み場型攻撃」として知られています。

(さらに…)

Page 1 of 6512 › »