ホーム » Author / Trend Micro

標的型攻撃手法解説：「APT33」によるC&C追跡困難化

投稿日:2019年11月19日
脅威カテゴリ:ボットウイルス, 攻撃手法
執筆:Trend Micro

標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者（以下簡略化のためAPT33とします）について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand＆Control（C＆C）サーバを攻撃に利用していることを確認しました。これはC＆Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。

(さらに…)

macOSを狙うマルウェア：取引アプリに偽装し個人情報を窃取

投稿日:2019年11月18日
脅威カテゴリ:サイバー犯罪, 攻撃手法
執筆:Trend Micro

現在、ほとんどのマルウェアはWindows OS環境を狙ったものです。このため、LinuxやmacOSなど、Windows以外のOSは安全だというイメージを持たれている方も多いかもしれません。しかし実際には、サイバー犯罪者は金銭利益を得られるのであれば攻撃対象を選びません。自身の利益が期待できる攻撃手法をサイバー犯罪者が見出した場合には、Windows以外の環境も危険にさらされることになります。今回トレンドマイクロでは、macOS向け取引ソフト「Stockfolio」を偽装する攻撃を確認しました。
(さらに…)

モバイル決済を侵害する偽カメラアプリ、Google Playで拡散

Googleは、今年2019年に入ってAndroidアプリのアクセス権限のリクエストに関するデベロッパーポリシーを更新しました。中でも、「通話履歴に関する権限グループ」と「SMS に関する権限グループ」への制限は、不正アプリがアクセス権限を利用することにより、マルウェアの拡散や個人情報の窃取といった不正活動を行うことを抑止するために設けられました。しかしサイバー犯罪者は、制限があればその回避方法を見つけるなどして攻撃を巧妙化させ、常に利益を追って活発に活動しています。その典型的な例が、最近トレンドマイクロが確認した、美しく撮れるカメラアプリを偽装し不正にモバイル決済を行うAndroid向け不正アプリ「AndroidOS_SMSNotfy」です。
(さらに…)

Windows標準機能WMIを利用するファイルレス仮想通貨発掘マルウェア「GhostMiner」

投稿日:2019年11月6日
脅威カテゴリ:不正プログラム, サイバー犯罪, サイバー攻撃, 脆弱性, 攻撃手法
執筆:Trend Micro

利用者のコンピュータリソースを盗用して仮想通貨発掘ツール（コインマイナー）を実行する「不正マイニング」の手法は、サイバー犯罪者が金銭利益を得る手法として常套手段化しています。不正マイニングの利益を得続けるためには、その存在を気づかれないようにすることが重要です。そのため2017年にはすでに、ウイルス対策ソフトウェアによる検出と監視を難航させるファイルレス技術を不正マイニングに適用した事例が確認されています。
(さらに…)

「ファイルレス」と「モジュール化」を採用した新たなボット型マルウェア「Novter」、感染経路は不正広告

トレンドマイクロは、ファイルレスで拡散する新しいボット型マルウェアを確認し、「Novter（ノブター）」と名付けました。「Nodersok」および「Divergent」という名称でも報告されているこのマルウェアは、サイバー犯罪集団「KovCoreG（コブコアジー）」の活動の下で2019年3月頃より拡散されてきました。弊社は、Novterの登場以来、積極的にその監視を続ける中で、頻繁な更新を確認しています。
(さらに…)

ハッキング集団を名乗るセクストーションスパム、700米ドルを要求

ChaosCCというハッキング集団によって送信されたとされるセクストーション（性的脅迫）スパムが報告され話題になりました。彼らは、「ユーザの端末を乗っ取った上で、ユーザがアダルトコンテンツを閲覧している様子を録画した」と主張します。Bleeping Computerの報告によると、このセクストーションによって、ユーザにビットコインで700米ドル（約76,000円、2019年10月28日現在）相当の支払いを要求します。

図1：ChaosCCのセクストーションメール（出典：Michael Gillespie）
(さらに…)

「Exim」メールサーバのバッファオーバーフロー脆弱性「CVE-2019-16928」を解説

中国のセキュリティリサーチ組織「QAX-A-Team」は、2019年9月、UNIX用のメール転送エージェント（MTA）「Exim」上に存在する脆弱性「CVE-2019-16928」を確認しました。市場調査によると、2019年9月の段階でEximはインターネット上で確認可能なメールサーバの50％以上を占めており、広範的な影響が懸念されます。この脆弱性が悪用されると、以下の２つの攻撃が実行される可能性があります。また、脆弱性の深刻度は「緊急」に分類されています。

サービス拒否（DoS、Denial of Service）攻撃
遠隔からのコード実行（Remote Code Execution、RCE）攻撃

この脆弱性はEximの以下のバージョンに存在し、これ以前のバージョンへの影響は確認されていません。

4.92
4.92.1
4.92.2.

Eximの脆弱性に関しては2019年6月にも「CVE-2019-10149」が公表されており、実際に脆弱性を攻撃するワームが登場しています。今回の脆弱性も遠隔からのコード実行が可能であり、同様の攻撃が発生する可能性は高いものと言えます。この脆弱性「CVE-2019-16928」は、ヒープ領域型のバッファオーバーフローによりEximプロセスの実行制御が可能になります。本記事ではその詳細を解説します。
(さらに…)

多数の医療機関で被害、ヘルスケア業界を狙うランサムウェア

2019年10月1日、米国の医療機関「DCH Health System」運営の病院3施設がランサムウェアの被害に見舞われ、ITシステムの復旧期間中、重篤でない患者の転院が強いられる事態となりました。しかもこの被害は、米国食品医薬品局（Food and Drug Administration, FDA）が、医療機器や病院内ネットワークの脆弱性に関する11件のセキュリティリスクについて、患者や医療従事者、その他の関係者へ注意喚起を実施していた矢先に発生しました。

(さらに…)

日本も攻撃対象とするサイバー犯罪集団「TA505」の最新攻撃手法を詳細解説

国内でも攻撃が確認されているサイバー犯罪集団「TA505」は、さらなる増収を狙い被害を拡大させるつもりであることを明らかにしています。トレンドマイクロは、2019年7月3日と8日にもTA505の活動について報告していますが、それ以降も活発な活動が確認されているため、継続して調査を行っています。今回報告する様々な攻撃活動にも、前回と同様、攻撃対象の国や組織あるいは攻撃手法の組み合わせなどに細かい調整が施されています。

(さらに…)

BinDiffによる調査で明らかになったInternet Explorerのゼロデイ脆弱性「CVE-2019-1208」を利用するPoCについて解説

投稿日:2019年10月17日
脅威カテゴリ:脆弱性
執筆:Trend Micro

2018年6月、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative（ZDI）」は、Internet Explorer（IE）のメモリ解放後使用（Use After Free、UAF）の脆弱性についてMicrosoftに報告しました。深刻度「緊急」に該当する脆弱性とされ、識別番号「CVE-2019-1208」が割り当てられたこの脆弱性に対し、Microsoftは2019年9月のセキュリティ更新プログラムを公開し、対処済みとなりました。ZDIのリサーチャは、この脆弱性をバイナリコード分析ツール「BinDiff」によって発見、解析し、どのようにWindows 10「Redstone5（RS5）」においてこの脆弱性を突いた攻撃が可能になるかの概念実証（Proof of Concept、PoC）を報告しました。
(さらに…)

Page 1 of 3512 › »