Android 端末向け不正アプリ「AndroRAT」(「ANDROIDOS_ANDRORAT.HRXC」として検出)の新しい亜種が確認されました。この不正アプリは「Remote Access Tool(RAT)」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化します。この AndroRAT の亜種は、2016 年に公表された脆弱性「CVE-2015-1805」を利用し、権限を必要とするさまざまな不正活動を実行します。CVE-2015-1805 は Marshmallow より前の Android バージョンに影響を与えます。
続きを読むその活動内容によって悪名をはせるサイバー犯罪集団「Lazarus」は、正体に関する謎も相まって多くの関心を集めています。同集団は、2007 年の韓国政府に対する一連のサイバー諜報活動によって登場して以来、大きな被害をもたらした注目すべき標的型攻撃をいくつか成功させており、最近では、広く報道された 2014 年の Sony Pictures における情報漏えいや、2016 年のバングラデシュの銀行に対する攻撃が例として挙げられます。規模と影響の両面で Lazarus の活動の歴史に匹敵する集団はほとんどありません。その大きな理由の 1 つが、Lazarus が利用するツールと手法の多様性にあります。
続きを読むトレンドマイクロは、クラウド型オンラインストレージサービス「A360 Drive」がマルウェアの拡散に悪用されていることを確認しました。クラウド型サービスは、マルウェアの拡散やコマンド&コントロール(C&C)サーバとしてサイバー犯罪者によって悪用されてきた経緯があります。本ブログでも、攻撃者集団「WINNTI」が、C&C 通信のために「GitHub」を利用した事例を報告しています。
今回確認された「Autodesk® A360(A360)」を利用した攻撃は、WINNTI の手法に比べて単純で目新しさは無いものの、マルウェアをホストするためにファイル共有サイトを悪用するという点で類似しています。A360 は「チームとプロジェクトの情報をデスクトップ、Web、モバイルデバイスに統合、接続、編成するためのクラウドベースのワークスペース」です。一連の製品群には、「Autodesk® A360 Drive(A360Drive)」と「Autodesk® A360 Team サービス」などが含まれます。個人向けの無料アカウントでは 5GB のストレージを利用することが可能です。ブラウザやデスクトップアプリからファイルをアップロードし、権限に応じて閲覧・編集等が可能なユーザを招待することができます。サイバー犯罪者は、マルウェアを A360 にホストすることにより、疑われずにマルウェアを送り込むことが可能になります。この手法は、収集情報の保存先としてGoogle Drive が利用された攻撃と類似しています。
続きを読むサイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム(OS)に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。
今回解説する「ADWIND(アドウィンド)(「JAVA_ADWIND」ファミリとして検出。別名:jRAT)」は、そのようなクロスプラットフォームの「Remote Access Tool(RAT)」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。
続きを読む2017年4月初旬、諜報活動を目的とした大規模な標的型サイバー攻撃キャンペーン「Operation Cloud Hopper(クラウドホッパー作戦)」がセキュリティリサーチャによって最近明らかにされました。この攻撃は、報道によると、攻撃者集団「APT10(別名:「MenuPass」、「POTASSIUM」、「Stone Panda」、「Red Apollo」、「CVNX」)」によって仕掛けられ、「Managed Services Provider(マネージド・サービス・プロバイダ、MSP)」が狙われていました。そして、標的となった企業の資産や取引上の機密情報の窃取を目的としています。本記事では、この最新の脅威の概要と企業が取るべき対策について解説します。
■標的となったのは?
この攻撃キャンペーンは、北アメリカ、ヨーロッパ、南アメリカ、アジアの各地域に影響を及ぼしており、ごく最近では英国、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、そしてオーストラリアの MSP が標的とされたことが報じられています。
MSP はさまざまな顧客企業のアプリケーション、ネットワーク、システムインフラストラクチャを管理しています。MSP への攻撃における真の標的はそれら顧客企業であったと考えられます。真の標的となった業種は、エンジニアリング、工業生産、小売、電力、薬剤、通信、政府等、多岐にわたるものと推測されています。
続きを読む2015年7月9日、台湾および香港の Webサイトを改ざんし、Adobe Flash Player の脆弱性を利用して PC に感染する攻撃が確認されました。この攻撃は、「Hacking Team」への攻撃により漏えいした情報で確認された Adobe Flash Player に存在する脆弱性を利用し、最終的に感染 PC に「Remote Access Tool(RAT)」である「PoisonIvy」やその他の不正なファイルをダウンロードします。なお、この攻撃は、Hacking Team への攻撃が確認されてから数日後に確認されました。
続きを読むネットワークトラフィックの監視は、IT管理者がネットワーク内で標的型攻撃を受けているかを確認する手段の 1つです。「Remote Access Tool(RAT)」は、一般的に標的型攻撃キャンペーンで見られ、コマンド&コントロール(C&C)との通信を行うために利用されます。RAT のネットワークトラフィックの中でも、特に、「Gh0st」や「PoisonIvy」、「Hupigon」、「PlugX」といった RAT は、よく知られており、検出されています。しかし、攻撃者は、いまだにこれらの RAT を標的型攻撃で効果的に利用しています。
続きを読む
