トレンドマイクロでは、今年の7月に入ってすぐ、新しいマルウェア「ThiefQuest(別名:EvilQuest)」を確認しました。このマルウェアは、macOSデバイスを狙って、ファイルを暗号化し、影響を受けるコンピュータ内にキーロガーをインストールします。ThiefQuestは、一般的なファイル共有のためのトレントサイト上で共有されていた海賊版のmacOSから発見されています。このマルウェアの動向は、ウイルス対策ソフトを提供する「MalwareBytes」、コンピュータヘルプサイト「BleepingComputer」、およびセキュリティリサーチャであるDinesh Devadoss氏、Phil Stokes氏、Patrick Wardle氏、そしてThomas Reed氏によっても調査されています。また、Objective-See社も最新のマルウェア詳細調査を公表しています。これらの調査では、マルウェアを利用した身代金要求が主な攻撃方法ではなく、ファイルの抽出、C&C通信、キーロギングなどのその他の関数を偽装するための先手であるとしています。この推測は、最近確認された内容でも裏付けられています。 (さらに…)
続きを読む※9月7日11時30分IoC情報更新(当初公開9月3日21時)
トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。
サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて(2020年9月3日)」 (さらに…)
続きを読むトレンドマイクロは、サイバー攻撃グループ「Earth Empusa(別名POISON CARPあるいはEvil Eye)」の追跡調査中、新しいAndroid端末向け不正アプリ(スパイウェア)「ActionSpy」(「AndroidOS_ActionSpy.HRX」として検出)を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。 (さらに…)
続きを読む「Tropic Trooper」は、2011年から活動しているとされるサイバー攻撃グループです。これまでに、台湾、フィリピン、香港における政府および軍事機関、ヘルスケア、輸送、ハイテク産業を攻撃対象にしてきたものと推測されています。トレンドマイクロではこのグループの活動として、2015年に脆弱性を利用するファイルを添付した標的型メール(スピアフィッシングメール)の攻撃を、また2018年にはツールに新機能を追加するなどの攻撃手法の変化を報告してまいりました。そして最近確認されたTropic Trooperの攻撃活動では、USBストレージ経由で台湾およびフィリピンの軍事機関のエアギャップ環境、つまり他のネットワークから物理的に隔離されている閉域ネットワークへの侵入を狙う活動を把握しました。また同時に、政府機関、軍事病院、さらに国立銀行を標的とした攻撃も確認できました。この攻撃でTropic Trooperは、特定の標的環境において自身の活動を隠蔽しつつさまざまなコマンドを実行し、USBストレージから重要な情報を窃取するマルウェア「USBferry」を活用します。ちなみにUSBferryの名称は、調査の際に入手されたサンプルの名前からとられています。トレンドマイクロの調査では、おとりとなる偽の実行ファイルとUSBferryを利用して情報を収集する活動を確認しています。
図1:USBferry攻撃のシナリオ例
続きを読む最新のセキュリティ対策は、先進のAI(人工知能)や機械学習などの脅威防御技術を融合することで、マルウェアやその他の脅威の特定および防御機能を向上させる一方、サイバー攻撃者は常に、これらの対策技術による検出を回避するための技術を生み出しています。その中で最も巧妙な回避手法の1つが「ファイルレス活動」です。ファイルレス活動ではシステム内に侵入する際、実行可能なマルウェア本体をファイルとして保存しません。システム内に標準搭載されるWindows正規ツールを悪用して攻撃を開始し、実行可能ファイルに依存せずに攻撃を持続化させます。
トレンドマイクロの2019年年間セキュリティラウンドアップでは、一般に蔓延するファイルレスの脅威の最新情勢について報告しました。トレンドマイクロでは、事後対処を行うEndpoint Detection and Response(EDR)などの技術を通じてファイルレス活動の痕跡を追った結果、過去1年間で140万件を超えるファイルレス活動関連の検出を確認しました。ファイルレス活動によって可能になる活動のステルス性や持続性を考えると、この検出動向は予測されていたものと言えます。また攻撃の際に、ファイルレス活動のためのコンポーネントや技術の使用が確認された数多くのマルウェアの拡散活動の事例を踏まえると、ファイルレス活動が増加傾向にあるのは明らかでした。
続きを読むワンタイムパスワード(OTP)とは、あるユーザに一定時間で変更される一回のみ利用可能なパスワードを通知することによって、オンラインサービスのセキュリティを高めるための仕組みです。多くの法人ネットワークでは、サードパーティのプロバイダによって提供されるOTPのシステムを利用し、アカウントの侵害によりシステムへ不正侵入されることを防ぐ追加の認証として使用しています。
トレンドマイクロは、2020年4月、macOS向けの正規OTP認証アプリを偽装した「TinkaOTP」というアプリを確認しました。調査の結果、この不正アプリは「DACLS(ダクルス)」と呼ばれる遠隔操作ツール(RAT)に酷似していることがわかりました。DACLSは、2019年12月にセキュリティ企業「360 Netlab」によって報告された、WindowsおよびLinuxをターゲットとするバックドア型マルウェアです。この報告によれば、不正アプリが接続するコマンドアンドコントロール(C&C)サーバが通信に使用する文字列から、サイバー犯罪集団「Lazarus」との繋がりが示唆されています。 (さらに…)
続きを読む台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。
トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の2つのランサムウェアファミリー「Lockergoga」(「LOCKERGOGA」ファミリーとして検出対応)および「Freezing」(「FREEZING」ファミリーとして検知対応)、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。
トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。 (さらに…)
続きを読むTrend Microが海外で提供する「Managed XDR」とインシデントレスポンス(IR)チームは、2020年3月に初めて発見されたランサムウェア「Nefilim(ネフィリム)」の侵入を受けた企業の事例を調査しました。この調査から、Nefilimを使用する攻撃者によるネットワーク侵入後の巧妙な活動と、標的組織に対する事前の情報入手の可能性が明らかになりました。 (さらに…)
続きを読むトレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap(オーバートラップ作戦)」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告(マルバタイジング)経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。
- URLリンクを含んだメールにより、ネットバンキングのWebサイトを偽装したフィッシングページへ利用者を誘導
- URLリンクを含んだメールにより、不正サイトへ誘導し、ダウンロードされるファイル(実はマルウェアの実行ファイル)を実行させる
- 不正広告経由でエクスプロイトキットを使用しマルウェアを配信
本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン(オンライン銀行詐欺ツール)「Cinobi(シノビ)」(トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出)について解説します。 (さらに…)
続きを読む
