サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。
本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。
続きを読むトレンドマイクロは、少なくとも4つの韓国のWebサイトを侵害し、偽のログインフォームを通して認証情報を窃取するフィッシング攻撃を確認しました。侵害されたWebサイトには同国で訪問数上位に入る事業ページが含まれていました。また、偽のログインフォームは韓国で広く利用されている検索サイトに偽装していました。ユーザが入力した認証情報は攻撃者のサーバに送信されますが、認証情報の正誤をチェックする機能が無いことから、この攻撃はまだ調査および情報収集の段階にあると考えられます。
侵害したWebサイトに不正なJavaScriptのコードを注入する「水飲み場型攻撃」は、以前にも脆弱性攻撃コードや銀行情報を窃取するスキミングコードを読み込ませる手法として利用されてきました。しかし、今回のように水飲み場型攻撃がフィッシングに利用された事例は珍しいものだと言えます。
「Soula」という名前が付けられたこの攻撃の流れは図1の通りです。侵害されたWebサイトに注入された不正なコードが、ユーザのPCまたはモバイル端末にフィッシングスクリプト(「Trojan.HTML.PHISH.TIAOOHDW」として検出)を読み込み、偽のログインフォームを表示します。
トレンドマイクロは、SOHO(小規模または自宅事務所)用ルータを狙う新しい脆弱性攻撃ツール(エクスプロイトキット、EK)「Novidade EK」を確認しました。Novidade EK は、ユーザがすでにログインしている Web アプリケーションを介してクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)攻撃を実行し、ルータに接続された機器やデスクトップ PC からルータの Domain Name System(DNS)設定を変更します。ユーザが標的ドメインにアクセスすると、当該ドメインへのトラフィックが不正サイトの IP アドレスに名前解決され、攻撃者が管理するサーバにリダイレクトされます。
続きを読むトレンドマイクロは、2018 年 7 月 25 日以降、「malvertisement(不正広告)」と脆弱性攻撃ツール(エクスプロイトキット)「Rig EK」を利用して、仮想通貨発掘マルウェアや暗号化型ランサムウェア「GandCrab」を拡散する活動を確認してきました。その後、8 月 1 日には、Rig EK によって、今まで知られていなかったランサムウェアが拡散されていることを確認しました。この新種と思われるランサムウェアを詳細に解析したところ、匿名ネットワーク「Tor」内で身代金支払いページを確認することができました。このランサムウェアは「PRINCESS EVOLUTION(プリンセスエボリューション)」(「RANSOM_PRINCESSLOCKER.B」として検出)と呼ばれおり、実際に、2016 年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョンであることが判明しました。PRINCESS EVOLUTION は、「Ransomware as a Service(サービスとしてのランサムウェア、RaaS)」として提供されており、アンダーグラウンドの掲示板で利用者を募集していました。
Facebook Messenger を通して拡散し、仮想通貨取引プラットフォームの認証情報の窃取、仮想通貨取引処理の乗っ取り、ユーザの PC リソースを盗用した仮想通貨の発掘(マイニング)等、仮想通貨に関連したさまざまな不正活動を実行する Chrome 拡張機能「FacexWorm(フェイスエックスワーム)」が、トレンドマイクロの「Cyber Safety Solutions チーム」によって確認されました。この FacexWorm に感染したユーザがわずかながら確認されています。ただし、弊社が注意喚起した時点で、既に FacexWorm の多くがChrome から削除済みとなっていました。
FacexWorm は新しいマルウェアではありません。2017 年 8 月に確認されましたが、その当時は目的や手法についてはっきりとは分かっていませんでした。2018 年 4 月 8 日、トレンドマイクロは FacexWorm による活動の急増を確認しました。この急増は、FacexWormが、ドイツ、チュニジア、日本、台湾、韓国、スペインで確認されたとする報道とも一致します。
続きを読む韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER(マグニバー)」(「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出)が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement(不正広告)」を介し、脆弱性攻撃ツール(エクスプロイトキット)「Magnitude Exploit Kit (Magnitude EK)」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。
続きを読む攻撃キャンペーン「EITest」は、2014 年に初めて確認されて以来、脆弱性攻撃ツール(エクスプロイトキット)を利用してランサムウェアなどさまざまなマルウェアを拡散しています。トレンドマイクロは、今回、ソーシャルエンジニアリングとして「サポート詐欺」を利用して、仮想通貨を発掘する JavaScript 形式の「HKTL_COINMINE」が拡散されていることを確認しました。「サポート詐欺」とは、正規のテクニカルサポートサービスを装った Web サイトで「マルウェア感染」などの文言を表示し、そうとは知らずに引っかかったユーザからサービス利用料や金融情報を詐取する手法です。
続きを読む
