ホーム » Author / Trend Micro

正規サービス「ngrok」を悪用する複雑な攻撃をXDRで特定

投稿日:2020年10月19日
脅威カテゴリ:対策技術, 攻撃手法
執筆:Trend Micro

トレンドマイクロが提供する製品「Trend Micro XDR™ Add-on: Apex One SaaS」は、攻撃を初期段階で検出し、発生中のインシデントを視覚化するために必要な可視性を提供します。これは企業のネットワーク防御の維持と解析を行うセキュリティ担当者、いわゆる「ブルーチーム」にとって、非常に有益な情報となります。弊社の「Trend Micro ™ Managed XDR 」チーム(以下XDRチーム)が最近対処したあるインシデントでは、悪意を持った攻撃者が特定の手法を攻撃に組み込んだことが明らかになりました。この攻撃手法は、ブルーチームとセキュリティリサーチャにとって、一連のイベントの解析がより困難化する複雑なものでした。本記事ではXDRチームが特定した複雑な攻撃手法と、特定に至った調査内容について解説します。 (さらに…)

Mac向けマルウェア「XCSSET」、正規ソフトを悪用しUXSS攻撃を実行

投稿日:2020年10月8日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

トレンドマイクロでは、Xcodeの開発者向けプロジェクト関連で、異常な感染を確認しました。さらに調査を進めたところ、特定の開発者のXcodeプロジェクト全体にソースマルウェアが含まれており、不正ペイロードの取得につながることが判明しました。本記事では、Mac向けマルウェア「XCSSET」に関する調査結果を要約します。この攻撃の詳細については、こちらの技術的詳細から確認可能です。トレンドマイクロでは、最初に侵入するマルウェアを「TrojanSpy.MacOS.XCSSET.A」として、そしてコマンド＆コントロール（C＆C）に関連するファイルを「Backdoor.MacOS.XCSSET.A」として検出しました。

図１：ソースマルウェアを含むXcodeプロジェクトのサンプルとそのコンテンツの例 (さらに…)

Instagramアカウントを乗っ取る新たな誘導手口をトルコの事例で解説

投稿日:2020年10月8日
脅威カテゴリ:フィッシング, 攻撃手法
執筆:Trend Micro

昨年2019年、トレンドマイクロは高い人気を集めるInstagramアカウントのプロフィールを乗っ取る攻撃を確認しました。そして2020年10月現在、同様の手口を利用する攻撃が再び増加しています。今回の事例では、攻撃の目的である「アカウントの乗っ取り」は同じでも、新たな誘導手口が用いられています。どちらの攻撃もトルコ語を使用するハッカー集団が関与しており、Instagramからの正規メッセージに偽装したフィッシングメールを介して認証情報を窃取したのちInstagramアカウントを乗っ取っています。

図1：2019年に弊社が確認したキャンペーンで利用されたフィッシングメールの一例

(さらに…)

ランサムウェア機能を備えたPHP Webシェル「Ensiko」について解説

昨今、Webサーバなど公開サーバへの攻撃で「Webシェル」（web shell）というツールが用いられていることが確認されています。「Webシェル」とは、Web経由でのコマンド実行を可能にするバックドアの一種であり、主にサイバー犯罪者がインターネット上の公開サーバに対する遠隔操作を実現するために使用します。トレンドマイクロでは7月以降、新たな Webシェルである「Ensiko」の攻撃を確認しています。Ensikoはランサムウェア機能を備えているなど、これまでのWebシェルよりも危険性が高いものとなっています。 (さらに…)

アンダーグラウンドで提供されるインフラとホスティングサービスの実情

投稿日:2020年10月6日
脅威カテゴリ:その他, サイバー犯罪
執筆:Trend Micro

トレンドマイクロではサイバー犯罪対策の一環として、アンダーグラウンドマーケットに対する監視や調査を行っています。アンダーグラウンドマーケットの最新調査結果に関しては本ブログでも、7月14日、15日、16日に連載記事の形で報告いたしておりますが、今回は更にアンダーグラウンド内で構築されるインフラやサービスの実情を深堀調査した結果についても報告してまいります。本記事では、アンダーグラウンドにおけるマーケットプレイスの内情について詳述し、サイバー犯罪者が集うコミュニティで提供される商品やサービスについて、また、アンダーグラウンドのインフラを利用する売り手と買い手がどのように取引を行っているかについて解説します。

図1：アンダーグラウンドフォーラム内のホスティングサービスとVPNに関連するセクション

(さらに…)

米司法省、世界規模のサイバー攻撃でサイバー攻撃者グループ「APT41」を起訴

投稿日:2020年10月5日
脅威カテゴリ:サイバー犯罪
執筆:Trend Micro

米国司法省は、2020年9月16日、米国内外100以上の機関を標的にしたサイバー攻撃で中国籍の容疑者5人を起訴したと発表しました。このサイバー攻撃キャンペーンは、世界的規模で展開され、ビデオゲーム会社、通信関連企業、大学、非営利団体など、さまざまな対象が狙われました。起訴された5名は、サイバー攻撃者グループ「APT41」に関係していると報告されています。本稿執筆時点、彼らはまだ逃亡中ですが、既にマレーシア国籍の2名が関与したとして逮捕されています。 (さらに…)

海外で増加するFacebookアカウント乗っ取り事例、攻撃手口はフィッシング

投稿日:2020年10月2日
脅威カテゴリ:フィッシング, 攻撃手法
執筆:Trend Micro

トレンドマイクロは2020年6月以降、一般に「インフルエンサー」と呼ばれるネット上の有名人のFacebookページが侵害される事例が増加していることを観測しました。これらの事例について調査したところ、過去に乗っ取られたものとみられる偽のFacebookアカウントにおいて、他の利用者をフィッシングサイトへ誘導する以下のような投稿が行われていたことを確認しました。

図1：偽のFacebookページ上でユーザに宛てた通知 — 図1：偽のFacebookページで確認した他の利用者宛ての投稿

(さらに…)

2020年上半期は家庭用ルータへの不審な接続が増加

投稿日:2020年9月29日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

各家庭に複数のネット接続デバイスが設置されているという現状は、攻撃者によって家庭のネットワークへ侵入される危険の増加を意味しています。2020年上半期、トレンドマイクロは、ルータの開放設定されていないTCPポートへの不審なアクセス試行を106億回以上検出しました。とりわけTCP23番ポートは、不審なアクセス試行の検出が最も多く、53億回を超えていました。 (さらに…)

脆弱性「Zerologon」（「CVE-2020-1472」）と行うべき対策

投稿日:2020年9月23日
脅威カテゴリ:脆弱性
執筆:Trend Micro

マイクロソフトは8月11日、脆弱性「CVE-2020-1472」を公表しました。「Zerologon」と呼ばれるこの脆弱性は、攻撃者がドメインコントローラ（DC）に対して認証を試みる際、Netlogon認証プロセスで使用される暗号化アルゴリズムを利用し、コンピュータIDを偽装できると考えられます。このNetlogon Remote Protocol（MS-NRPC）の脆弱性により、攻撃者がネットワーク上のデバイスでアプリケーションを実行できる可能性があります。また未認証の攻撃者は、MS-NRPCを使用してDCに接続し、管理者権限へのアクセス権を取得します。既に攻撃実証コード（POC）が公開されており、いつ攻撃が発生してもおかしくない状態と言えます。攻撃が行われた場合、DCが乗っ取られるなど影響が大きいため、速やかな修正プログラム適用が推奨されます。「CVE-2020-1472」に対するパッチは2段階に分けて提供される予定であり、8月の月例セキュリティパッチではZerologon攻撃に対する一時的なパッチが含まれ、根本的なパッチは2021年2月に提供が予定されています。 (さらに…)

「BIG-IP」の脆弱性「CVE-2020-5902」を利用するIoTマルウェアを確認

２０２０年７月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット（IoT）を対象とするボット「Mirai」のダウンローダ（Trend Microでは「Trojan.SH.MIRAI.BOI」として検出）を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の１つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。 (さらに…)

Page 1 of 4612 › »