ホーム » Author / Trend Micro

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散

投稿日:2018年9月10日
脅威カテゴリ:メール, スパムメール
執筆:Trend Micro

トレンドマイクロは2018年8月上旬、Internet Query (IQY) ファイルを不正利用するマルウェアスパムの増加を確認し、8月8日のブログ記事にて速報いたしました。またその後の調査により、このマルウェアスパムが日本のみを標的としていたこと、そしてその活動内容が今年6月に検出されたリモートアクセスツール「FlawedAmmyy RAT」を送り込むマルウェア「NECURS」を拡散するスパムメール送信活動と類似していることを確認しました。サイバー犯罪者は構造ベースの検出方法を回避するため、一般的に単純なプレーンテキストの形式をとるIQY ファイルを利用しているように見受けられます。

今回の調査で、ボットネット「CUTWAIL 」から送信されるスパムメールにIQYファイルを悪用する手口が確認されました。このスパムメール送信活動は、特に日本のユーザを対象としており、「BEBLOH」（「TSPY_BEBLOH.YMNPV」として検出）あるいはURSNIF（TSPY_URSNIF.TIBAIDO）のいずれかのマルウェアを拡散しています。スパムメールは、「支払い」、「写真送付の件」、「写真添付」、または「ご確認ください」など、従来のソーシャルエンジニアリングの手法を利用して、ユーザが添付ファイルをクリックするように誘導します。このキャンペーン活動は2018年8月6日に検出され、同年8月9日には下火となりましたが、この期間内で約50万件のスパムメールの拡散が確認されました。

図1:2018年8月6日から10日に検出されたスパムメールの量
(さらに…)

サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認

投稿日:2018年9月7日
脅威カテゴリ:その他, サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、2018 年 5 月 23 日のブログ記事で報告した、名前の無いサイバー諜報活動集団についてさらなる調査を実施し、その他のサイバー諜報活動集団「Confucius」、「Patchwork」、および「Bahamut」との関連について明らかにしました。本記事での解説に際し、弊社はこの集団を「Urpage」と名付けました。

(さらに…)

韓国を狙うサプライチェーン攻撃「Red Signature作戦」について解説

投稿日:2018年8月31日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、マルウェア解析を専門とするグループ「IssueMakersLab」と共同で、韓国の法人組織を標的とするサプライチェーン攻撃「Red Signature 作戦」に関する調査を行いました。サプライチェーン攻撃とは、ソフトウェアもしくはハードウェアのライフサイクルを侵害する攻撃です。ソフトウェアの場合、不正プログラムが混入した正規ソフトによってその利用者が感染被害に遭うというような事例が典型的です。本記事で解説する攻撃は、2018 年 7 月下旬に確認され、韓国の報道機関によって 8 月 6 日に報告されました。

Red Signature 作戦の攻撃者は、まず初めに遠隔支援ツールプロバイダの電子証明書を窃取してマルウェアに署名し、攻撃者が管理するサーバにアップロードします。次に、遠隔支援ツールの更新サーバを侵害し、遠隔支援ツールの更新プロセスを通して攻撃者の関心を引くユーザに「9002 RAT」と呼ばれる「Remote Access Tool（RAT）」を送り込みます。侵害した更新サーバは、標的企業の IP アドレスの範囲からアクセスされた場合にのみ不正ファイルを送信するように設定されています。

9002 RAT は、Microsoft Internet Information Services（IIS）6.0 の WebDAV コンポーネントの脆弱性「CVE-2017-7269」を利用する脆弱性攻撃ツールや、SQL データベースからパスワードを出力するツールを追加でインストールします。これらのツールの機能から、攻撃者は標的企業の Web サーバおよびデータベースに保存された情報を狙っていることがうかがえます。

図 1：「Red Signature 作戦」の攻撃の流れ

(さらに…)

VBScript エンジンのメモリ解放後使用（Use After Free）の脆弱性「CVE-2018-8373」により、IE でシェルコードの実行が可能に

投稿日:2018年8月29日
脅威カテゴリ:脆弱性
執筆:Trend Micro

トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative（ZDI）」は、2018 年 7 月 11 日、Internet Explorer（IE）の危険度の高い脆弱性が実際の攻撃で利用されていることを確認しました。これは、Microsoft の 7 月の月例セキュリティ更新プログラム公開のちょうど翌日のことでした。ZDI は、脆弱性の修正を支援するためにすぐに詳細情報を Microsoft に通知しました。問題の脆弱性には「CVE-2018-8373」という識別番号が割り当てられ、8 月の月例セキュリティ更新プログラムにて修正されています。CVE-2018-8373 は、IE でメモリ内のオブジェクトを処理する VBScript エンジンにおける脆弱性です。影響を受ける IE のバージョンは、IE9、IE10、および IE11 です。ただし、Windows 10 Redstone 3（RS3）の IE11 は、初期設定で VBScript が無効化されているため影響を受けません。影響を受けるバージョンの詳細はこちらを参照してください。

ZDI は、CVE-2018-8373 を利用した不正な Web トラフィックを確認しました。図 1 は問題の URL です。

図 1：CVE-2018-8373 を利用する不正な Web サイトの URL

(さらに…)

Android 端末の ADB ポートが「Mirai」の亜種「Satori」の拡散に利用されていることを確認

開放されたポートを狙う攻撃は、多くの IoTデバイスにおいて現在進行中の課題となっています。特に TCP 5555番ポートは以前にも攻撃に利用されており、このポートを開放したまま出荷し端末を攻撃に露出させてしまっていた製造業者も確認されています。

トレンドマイクロは、2018 年 7 月 9 日から 10 日と、15 日の 2 度にわたり、5555 ポートを狙う新しい攻撃を確認しました。この攻撃では、Android 端末のコマンドラインツール「Android Debug Bridge（ADB）」が利用されました。ADB は、「Android Software Development Kit（Android SDK）」に含まれており、通常は、アプリのインストールやデバッグなどを行う際に開発者が使用するツールです。弊社のデータによると、確認されたネットワークトラフィックは、第 1 波が主に中国と米国から、第 2 波が主に韓国からのものでした。

図 1：TCP 5555 番ポートで確認された活動

(さらに…)

「タイポスクワッティング」により Mac ユーザに迷惑アプリをダウンロードさせる攻撃を確認

投稿日:2018年8月3日
脅威カテゴリ:攻撃手法
執筆:Trend Micro

トレンドマイクロは、「タイポスクワッティング（Typosquatting）」と呼ばれる古い手法を利用し、意図していない Web サイトにユーザを誘導する新しい攻撃を確認しました。タイポスクワッティングは、人気のある Web サイトに類似したドメインを利用し、タイプミスによって攻撃者が管理するドメインにアクセスしたユーザを不正な Web サイトに誘導する手法です。この手法は、2000 年代前半からしばしば利用されているため、多くのユーザは既に注意を払っているかもしれません。しかし、新たな攻撃が確認されているという事実は、タイポスクワッティングが、古い手法であるにもかかわらず依然として有効であることを示しています。

今回確認された攻撃は、脅威が検出されたと警告する Web サイトにMac ユーザを誘導し、「Potentially Unwanted Application（迷惑アプリ、PUA）」をダウンロードさせるというものでした。

図 1：迷惑アプリをインストールさせる流れ
(さらに…)

続報：IoT ボット「VPNFilter」に感染したデバイスで 19 件の脆弱性を確認

投稿日:2018年7月30日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

本ブログで 2018 年 5 月末に報告したように、IoT ボット「VPNFilter」は、少なくとも 54 カ国にわたる 50 万台のネットワークデバイスに感染したと言われています。トレンドマイクロは、多段階の攻撃における各マルウェアを、「ELF_VPNFILT.A」、「ELF_VPNFILT.B」、「ELF_VPNFILT.C」、「ELF_VPNFILT.D」として検出対応しています。2018 年 5 月の時点で、VPNFilter は、「Linksys」、「MikroTik」、「Netgear」、そして「TP-Link」製のネットワークデバイスおよび「QNAP」製の「Network Attached Storage（NAS）」を対象に、Web サイトの認証情報の窃取、「監視制御データ収集（Supervisory Control And Data Acquisition、SCADA）プロトコル」の傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えていました。

(さらに…)

標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい

投稿日:2018年7月25日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

標的型サイバー攻撃キャンペーン「BLACKGEAR」（別名：「Topgear」、「Comnie」）におけるサイバー諜報活動は、バックドア型マルウェア「Protux（プロタックス）」の確認状況に基づくと、少なくとも2008 年までさかのぼることができます。BLACKGEAR は、日本、韓国、台湾の公的機関、通信企業、その他の技術系企業を標的としてきました。例えば 2016 年の活動では、バックドア型マルウェア「Elirks」を始め、さまざまなマルウェアやツールを利用し、日本の組織を攻撃していたことが確認されています。BLACKGEAR の攻撃者は、独自のツールを開発し、非常に組織的な活動を行います。最新の攻撃ではそれらのツールに微調整が加えられていることが確認されました。

(さらに…)

主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続

投稿日:2018年7月19日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

本ブログで 2017 年 2 月に解説したように、2016 年には、主要な脆弱性攻撃ツール（エクスプロイトキット、EK）の活動停止や減少が確認されました。しかし、エクスプロイトキットの活動は完全に停止したわけではありません。「malvertisement（不正広告）」や、スパムメール内の不正リンク、あるいは侵害した Web サイトのように、以前と同様の手口の利用を続けているものの、最近再び脅威状況の中で重要な位置を占めるようになってきました。「Rig EK」、「GrandSoft EK」、そして非公開の「Magnitude EK」がその良い例です。これらのエクスプロイトキットは、比較的最近確認された脆弱性を利用し、仮想通貨発掘マルウェアやランサムウェア、ボットのローダ、そしてオンライン銀行詐欺ツール（バンキングトロジャン）などのマルウェアを送り込みます。

(さらに…)

SSH サービスを狙うボットを確認、不正サイトを介して仮想通貨発掘ツールをインストール

投稿日:2018年7月13日
脅威カテゴリ:ボットウイルス
執筆:Trend Micro

仮想通貨発掘量の決め手となる計算能力が比較的低い「モノのインターネット（Internet of Things、IoT）デバイス」上での発掘は実用的ではありません。にもかかわらず、IoT デバイスを狙って仮想通貨を発掘する攻撃や、IoT デバイスを対象とする仮想通貨発掘マルウェアがアンダーグラウンド市場で販売されていることが確認されています。

トレンドマイクロは、「Secure Shell（SSH）」、「Telnet」、および「File Transfer Protocol（FTP）」サービスをエミュレートするように設計したハニーポットを通して、IP アドレス「192[.]158[.]228[.]46」から送信されたボットによる攻撃を確認しました。この攻撃は、22 番、2222 番、そして 502 番を含め、SSH や IoT デバイスに関連したポートを検索していました。特に今回の攻撃では、SSH サービスが使用する 22 番ポートが利用されました。SSH サービスを実行しているすべてのサーバおよび IoT デバイスが今回の攻撃の対象になり得ます。

(さらに…)

Page 1 of 2512 › »