法人組織が自社のデジタルトランスフォーメーション(DX)を推進する中で発生するクラウド移行時の設定ミスは成長痛の一部とも考えることができます。クラウド環境における設定ミスは、サイバー攻撃やデータ侵害が発生し、法人組織がその影響に対処しなければならなくなった困難な状況で発見される傾向にあります。これらの設定ミスは、ビジネスやクラウドセキュリティにどのような影響を与えるのでしょうか?また、それらの影響を軽減するために、法人組織は何をすればよいのでしょうか?
続きを読む最近、比較的新しいクラウドサービスプロバイダ(CSP)をターゲットにして暗号資産のマイニングやクリプトジャッキング攻撃を行うLinuxマルウェアの脅威の新たな手口が確認されました。この記事では、Huawei Cloud向けアプリケーションやサービスを削除する不正コードを利用するLinux向けマルウェアの新たな手口について説明します。この不正コードは、セキュリティ問題の検出、システムの保護、エージェントの監視を行うHuawei Cloud Linuxのエージェントプロセスである「hostguard」のサービスを無効化します。さらに不正コードには、パブリックイメージにデフォルトでインストールされているElastic Cloud Service(ECS)インスタンスのパスワードをリセットさせる「CloudResetPwdUpdateAgent」というオープンソースのプラグインエージェントも含まれています。今回確認された不正コードのシェルスクリプトがこれら2つのサービスを含んでいることから、攻撃者はHuawei Cloudの脆弱なECSインスタンスを標的にしていることが推測されます。
図1:Host-guardを無効化し、CloudResetPwdUpdateAgentプラグインエージェントを使用してECSインスタンスのパスワードをリセットする不正コード
続きを読む脅威の侵入口となる脆弱性は、比較的新しいものであっても脆弱性悪用ツール(エクスプロイト)を駆使する攻撃キャンペーンの格好の標的となります。本稿では、マルウェアがどのようにサーバの脆弱性を狙っているかについて解説します。具体的には、Atlassian Confluenceサーバに存在するWebwork Object-Graph Navigation Language(OGNL)インジェクションの脆弱性(CVE-2021-26084)およびOracle WebLogicサーバに存在する3つの脆弱性(CVE-2020-14882、CVE-2020-14750、CVE-2020-14883)への調査結果について説明します。また、企業や組織のセキュリティ部門が自社のワークロードのセキュリティを確保するための推奨事項についても説明します。
続きを読むトレンドマイクロでは2021年上半期(1~6月)において、二重恐喝の手口を用いて標的組織に被害をもたらすなど、新たな手口を取り入れたランサムウェア攻撃が依然として活発で高度化していたことを確認しました。従来のランサムウェア戦略とは異なり、新型ランサムウェアのオペレータは「暴露型」の手口として、感染端末から窃取したプライベートデータを人質として利用し被害者に圧力をかけ、身代金が支払われない場合は盗み出した重要情報をリークサイト上で暴露すると脅します。トレンドマイクロは2021年に入ってからこれらの脅威と旧来のランサムウェアファミリを追跡調査した結果、どの攻撃活動の勢いが増し、どのファミリが法人組織や個人ユーザにとって特に危険であるかを突き止めました。
続きを読む本ブログでは2021年11月30日の記事で、侵害されたDocker Hubアカウントが暗号資産(旧仮想通貨)の採掘活動(マイニング)に悪用されていたほか、これらの活動がサイバー犯罪者グループ「TeamTNT」に関連していたことを明らかにしました。それらのアカウントは現在削除されていますが、トレンドマイクロは、これらの侵害されたアカウントに関連するTeamTNTの活動を追跡調査することができました。
トレンドマイクロは、上記の活動に加えて、同グループが異なる環境内で実施したいくつかの不正な活動を確認しました。そのうちの1つは、Weaveworks社の提供する正規ツール「Weave Scope」を悪用して、展開されたコンテナの監視・制御を行っていたことです。
続きを読むトレンドマイクロでは、情報窃取型マルウェア「BazarLoader」(トレンドマイクロ製品では「TrojanSpy.Win64.BAZARLOADER」、「TrojanSpy.Win64.BAZARLOADER」、「Backdoor.Win64.BAZARLOADER」として検出)を用いたキャンペーンの監視を続けています。情報セキュリティフォーラムは、2021年第3四半期にBazarLoaderの検出数が急増したことを報告していますが、トレンドマイクロは、攻撃者がデータの窃取やランサムウェア攻撃に悪用するために、既存の配信手法に新たな到達メカニズムを2つ追加していたことを発見しました。
そのうちの1つは、攻撃者が正規プログラムにBazarLoaderを同梱するために侵害されたソフトウェアインストーラを用いるというものです。もう1つは、Windowsショートカットファイル(.LNK)とダイナミックリンクライブラリ(.DLL)のペイロードを含むISOファイルを使用するというものです。トレンドマイクロは、BazarLoaderの最も検出数の多い地域がアメリカ大陸であることを観測しました。BazarLoaderの感染チェーンやキャンペーンに関する技術的分析や洞察については、トレンドマイクロの技術論文「BazarLoader Looking In: Analyzing the Infection Chains, Stages, and Campaigns(英語)」をご確認ください。
続きを読むトレンドマイクロでは2020年以降に日本国内の組織を対象としたAPT・標的型攻撃を複数観測し、その攻撃者グループを「Earth Tengshe」と命名しました。この一連の攻撃は、日本を狙う標的型攻撃「A41APT」キャンペーンとして報告されている攻撃活動の一部とみられ、「SigLoader(DESLoader)」や「SodaMaster(DelfsCake)」、「P8RAT(GreetCake)」などのマルウェアが悪用されることで知られています。トレンドマイクロが2021年4月以降に確認した当該キャンペーンの攻撃では、SigLoaderから最終的に実行されるペイロードとして、以前の報告時点からバージョンアップされたSodaMasterや、新たに確認された「Jackpot」というマルウェアが用いられたことを確認しています。Earth Tengsheは現在も日本を含めた地域において、活発に攻撃を行っていると考えられます。
2021年9月、Squirrelwaffleは、スパムキャンペーンを通じて拡散される新種のローダとして登場しました。このキャンペーンは、悪意のある電子メールを既存のメールチェーンに返信する形で送信していたことで知られています。これは、不正活動に対するメール受信者の警戒心を弱めるための戦術です。これを可能にするために攻撃者は、Microsoft Exchange Serverの脆弱性である「ProxyLogon」と「ProxyShell」の双方に対する脆弱性攻撃ツール(エクスプロイト)を連鎖的に悪用していたとトレンドマイクロは推測しています。
トレンドマイクロのインシデント・レスポンスチームは、中東で発生したSquirrelwaffleに関連するいくつかの侵入事例を調査しました。トレンドマイクロは、これらの攻撃手口に上記のエクスプロイトが関与しているかどうかを確認するため、初期アクセス時の手口について掘り下げて調査しました。
今回の推測は、トレンドマイクロが観測したすべての侵入事例が「ProxyLogon」と「ProxyShell」に対して脆弱とみられるオンプレミスのMicrosoft Exchange Serverから発生していたという事実に起因しています。本ブログ記事では、これらの観測された初期アクセス時の手口と、Squirrelwaffleキャンペーンの初期段階について詳説します。
続きを読む【追記情報:2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。
Java向けのログパッケージとして広く利用されているApache Log4j上に存在する脆弱性が発見されました。この脆弱性は、細工したログメッセージを送信することで任意のコード実行が可能になります。すでにCVE-2021-44228として採番され、「Log4Shell」という名前が付けられています。この脆弱性は、2021年11月24日にApache上での存在が非公開で報告され、2021年12月9日にLog4jのバージョン2.15.0において、修正パッチが適用されました。この脆弱性は、Log4jのライブラリを使用する広範囲の製品に影響します。この脆弱性については既に12月11日の記事で第一報をお知らせしていますが、本記事ではこの脆弱性を悪用する手法と攻撃事例について報告します。
続きを読む【追記情報:2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。その他、トレンドマイクロ製品による保護の内容の更新を追記しました。
【追記情報:2021年12月16日(木)】Log4j2の新バージョン2.16.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。
【追記情報:2021年12月15日(水)】トレンドマイクロ製品による保護の内容の更新を追記しました。
【追記情報:2021年12月14日(火)】トレンドマイクロ製品による保護の内容の更新、およびトレンドマイクロ製品によるデモ動画(英語)のリンクを追記しました。
【追記情報:2021年12月13日(月)】一般的な緩和策の詳細、およびトレンドマイクロ製品による保護の内容を追記しました。
【追記情報:2021年12月12日(日)】当該脆弱性の詳細情報と検知状況を追記しました。
当該記事の内容は2021年12月21日(火)時点の情報をもとにしており、今後更新される可能性があります。情報に更新があった場合は本記事を適宜更新いたします。
米国時間2021年12月9日、Apache Log4j2ログ出力ライブラリの複数のバージョンに影響を与える深刻なゼロデイ脆弱性情報が公開されました。CVE-2021-44228として登録されたこの脆弱性は、様々なブログやレポートで「Log4Shell」と呼ばれています。この脆弱性が悪用されると、影響を受ける環境で特定の文字列をログに記録することにより、任意のコードを実行(RCE:Remote Code Execution)される可能性があります。
続きを読む
