トレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。
続きを読む2019年、トレンドマイクロは、コロンビアを拠点として、南米諸国の企業に対してメール攻撃を展開していると思われる攻撃者についてブログ記事を公開しました。この攻撃者は「APT-C-36」、或いは「Blind Eagle」と呼ばれることもあります。本ブログ記事では、トレンドマイクロがAPT-C-36の動向の追跡中に確認したメール攻撃に関する新たな調査結果を共有します。
図1:APT-C-36によるコロンビア政府税関当局を偽装した攻撃メール例
続きを読むトレンドマイクロでは、2020年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。組織のネットワークに侵入する標的型攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。
図:ネットワークに侵入する標的型攻撃の攻撃段階概念図
続きを読むトレンドマイクロは、主に東南アジアにおいて実行された一連の標的型攻撃を発見し、「Earth Baku」と命名しました。そして更なる調査の結果、Earth Bakuと既存の攻撃者「APT41」との関連を発見しました。APT41は2012年頃から存在しているとされる攻撃者であり、過去には諜報活動のほか、ランサムウェアや暗号資産採掘ツール(コインマイナー)を用いた不正マイニングなどの攻撃活動を数多く実行しています。
続きを読む7月21日、東京オリンピック関連と目されるファイル名「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」が付けられたマルウェアについての情報が流れました。一部では注意喚起なども行われておりトレンドマイクロにも問い合わせが入っておりますので、現時点までに確認できた内容を本ブログ記事でお知らせします。本件について確認できた検体は2種あり、トレンドマイクロでは「VIGILANTCLEANER」および「VIGILANTCHECKER」の検出名で対応しています。つけられたファイル名やPDFファイルのアイコン偽装を行っている点から考えると、東京オリンピック開会直前のタイミングで関連組織を狙った標的型メール攻撃などの目的で作成された様子がうかがえますが、現在のところ問題のファイルの拡散経路などの詳細は確認できておらず一般に拡散している形跡もないことから、訓練用サンプルや単なるいたずら目的等の可能性もあるものと言えます。
続きを読む攻撃者集団「Iron Tiger」による東南アジアのギャンブル企業を標的とした攻撃キャンペーン「Operation DRBControl」が確認されてから1年以上が経過しましたが、この度「Iron Tiger」が引き続きギャンブル業界を狙っている証拠が新たに確認されました。
このブログ記事では、Iron Tigerが攻撃に使用するツールキットが更新され、従来3つのファイルを使用して感染させるマルウェアであった「SysUpdate」が5つのファイルを使用するものへ変更された点について解説します。また、これまでに確認されている類似の「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」から考察される他の攻撃者グループとの関連性について説明します。最後に、Iron Tigerが使用するルートキットについて解説します。中でもカーネルレベルでファイルを隠蔽するために使用されるルートキットは、これまでIron Tigerによる使用が確認されていなかったものです。
続きを読む2021年7月6日12時更新:
オランダのDIVD CSIRT(Dutch Institute for Vulnerability Disclosure)は、今回のランサムウェア攻撃で使用されるKASEYA VSAのゼロデイ脆弱性の1つとして「CVE-2021-30116」を公表しました。 Kaseyaの脆弱性は、システム管理ツールの調査の一環として発見されました。 KaseyaとDIVD-CSIRTは、この事件の前に調整された開示リリースに取り組んでいました。
さらに、REvil/Sodinokibiの暴露サイト上で今回の事件についての表明が公開されると共に、ユニバーサル復号ツールの取引を推進しているという報告もありました。
図:REvil/Sodinokibiの暴露サイト上の書き込み例(2021年7月5日取得)
MITRE EngenuityによるATT&CK Evaluationsは、特定のサイバー犯罪者グループの攻撃に対するセキュリティベンダの検知能力の評価を行うものです。一方で、ベンダに対する採点や順位付けなどの評定は行いません。かわりに、特定のサイバー犯罪者グループによる攻撃をセキュリティベンダがどのように検知するか、完全な透明性をもって企業や組織が理解できるようにします。この際、ATT&CK フレームワークに沿った評価を行うことで、攻撃の全体像に対する検出状況を把握することが可能になります。
続きを読む先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。
図1:DarkSideを装った攻撃者が送信した脅迫メールの一例
続きを読む2021年5月に米国の石油パイプライン大手Colonial Pipeline社を操業停止に追い込んだランサムウェア「DARKSIDE」は、前回の記事で解説したように、米国、フランス、ベルギー、カナダなどの地域で、製造業、金融業、基幹インフラの企業などを標的にしています。またWindowsおよびLinux双方のプラットフォームも標的としています。この記事では、Linux版「DARKSIDE」ランサムウェアの動作を解説します。Linux版では特に、VMware ESXIサーバ上の仮想マシン関連ファイルを標的とし、事前に組み込まれた環境設定により仮想マシン(VM)を強制終了する点や、感染端末上のファイルを暗号化した後、窃取したシステム情報をリモートサーバに送信する挙動などをもっています。DARKSIDE自体は既に活動停止状態と考えられていますが、WindowsだけでなくLinux環境にも感染する、仮想環境をも攻撃対象とするなどの活動は、攻撃を受けた組織の被害を一層拡大させる可能性があり、他のランサムウェアでも行われる可能性が高いものであることに留意してください。
Windows版およびLinux版のDARKSIDEランサムウェアの動作の違いをまとめると、以下のとおりとなります。
| Windowsバージョン | Linuxバージョン | |
| 暗号化の仕組み | RSA-1024によるSalsa20 | RSA-4096によるChaCha20 |
| 暗号化ブロック | Salsa20のマトリックスがカスタムとなり「RtlRandomExW」でランダムに生成される | ChaCha20の初期ブロックは標準的なものであり、定数文字列「expand 32-byte k」で構築される |
| 環境設定 | 暗号化される | 暗号化されない |
| VMを強制終了するか | しない | する |
| 暗号化の標的となるファイル | 設定に記載されているファイル、フォルダ、ファイル拡張子を除く、システム上のすべてのファイル | VMware ESXIサーバ上のVM関連ファイル(環境設定に記載されている特定のファイル拡張子を持つもの) |
| 新たに追加される拡張子 | 感染端末のHWIDを「.4731c768」としてCRC32を数回適用して生成する | 埋め込み設定により「.darkside」としてハードコード化されているか、実行パラメータで付与される |
| 脅迫状のファイル名 | README.という設定でハードコード 化された部分と、前述の生成されたIDで構成される。例えば「README. 4731c768.TXT」 | 埋め込み設定により「darkside_readme.txt」としてハードコード化されているか、実行パラメータで付与される |
表1:WindowsおよびLinuxにおけるDARKSIDEの比較
続きを読む
