トレンドマイクロは、SOHO(小規模または自宅事務所)用ルータを狙う新しい脆弱性攻撃ツール(エクスプロイトキット、EK)「Novidade EK」を確認しました。Novidade EK は、ユーザがすでにログインしている Web アプリケーションを介してクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)攻撃を実行し、ルータに接続された機器やデスクトップ PC からルータの Domain Name System(DNS)設定を変更します。ユーザが標的ドメインにアクセスすると、当該ドメインへのトラフィックが不正サイトの IP アドレスに名前解決され、攻撃者が管理するサーバにリダイレクトされます。
続きを読むトレンドマイクロでは以前から「Pawn Storm(別名:APT28、Sofacy、Sednit、STRONTIUM、Fancy Bear等)」として知られる攻撃者グループを調査しており、今年1月のブログ記事などでその活動を報告してまいりました。今回2018年10月中旬以降、この攻撃者によるものと考えられる攻撃キャンペーンを確認しました。
該当の攻撃では、11月初旬より日本国内の複数の組織に対して、英語文面による不審なメールが送信されています。弊社にて、それらのメールの添付ファイルを詳細に調査したところ、Pawn Stormが用いるバックドアとして知られる「Zebrocy」(ゼブロシー)の感染へと至ることを確認しました。トレンドマイクロではこれまで、Pawn StormがNATOや東欧を標的にしてきたことを報告していますが、その攻撃対象に日本も追加されたものと考えられます。
続きを読むトレンドマイクロは、2018 年 9 月 18 日、本ブログで 8 月 29 日に解説したメモリ解放後使用(Use After Free、UAF)の脆弱性「CVE-2018-8373」を利用する別の攻撃を確認しました。CVE-2018-8373 は、比較的新しいバージョンの Windows に搭載された Internet Explorer(IE)の VBScript エンジンに影響を与えます。Microsoft はすでに、2018 年 8 月の月例セキュリティ更新プログラムにおいて、CVE-2018-8373 を修正しているため、この脆弱性攻撃は、更新済みの IE に対して無効です。影響を受けるバージョンの詳細はこちらを参照してください。
続きを読むトレンドマイクロは、マルウェア解析を専門とするグループ「IssueMakersLab」と共同で、韓国の法人組織を標的とするサプライチェーン攻撃「Red Signature 作戦」に関する調査を行いました。サプライチェーン攻撃とは、ソフトウェアもしくはハードウェアのライフサイクルを侵害する攻撃です。ソフトウェアの場合、不正プログラムが混入した正規ソフトによってその利用者が感染被害に遭うというような事例が典型的です。本記事で解説する攻撃は、2018 年 7 月下旬に確認され、韓国の報道機関によって 8 月 6 日に報告されました。
Red Signature 作戦の攻撃者は、まず初めに遠隔支援ツールプロバイダの電子証明書を窃取してマルウェアに署名し、攻撃者が管理するサーバにアップロードします。次に、遠隔支援ツールの更新サーバを侵害し、遠隔支援ツールの更新プロセスを通して攻撃者の関心を引くユーザに「9002 RAT」と呼ばれる「Remote Access Tool(RAT)」を送り込みます。侵害した更新サーバは、標的企業の IP アドレスの範囲からアクセスされた場合にのみ不正ファイルを送信するように設定されています。
9002 RAT は、Microsoft Internet Information Services(IIS)6.0 の WebDAV コンポーネントの脆弱性「CVE-2017-7269」を利用する脆弱性攻撃ツールや、SQL データベースからパスワードを出力するツールを追加でインストールします。これらのツールの機能から、攻撃者は標的企業の Web サーバおよびデータベースに保存された情報を狙っていることがうかがえます。
図 1:「Red Signature 作戦」の攻撃の流れ
開放されたポートを狙う攻撃は、多くの IoTデバイスにおいて現在進行中の課題となっています。特に TCP 5555番ポートは以前にも攻撃に利用されており、このポートを開放したまま出荷し端末を攻撃に露出させてしまっていた製造業者も確認されています。
トレンドマイクロは、2018 年 7 月 9 日から 10 日と、15 日の 2 度にわたり、5555 ポートを狙う新しい攻撃を確認しました。この攻撃では、Android 端末のコマンドラインツール「Android Debug Bridge(ADB)」が利用されました。ADB は、「Android Software Development Kit(Android SDK)」に含まれており、通常は、アプリのインストールやデバッグなどを行う際に開発者が使用するツールです。弊社のデータによると、確認されたネットワークトラフィックは、第 1 波が主に中国と米国から、第 2 波が主に韓国からのものでした。
図 1:TCP 5555 番ポートで確認された活動
標的型サイバー攻撃キャンペーン「BLACKGEAR」(別名:「Topgear」、「Comnie」)におけるサイバー諜報活動は、バックドア型マルウェア「Protux(プロタックス)」の確認状況に基づくと、少なくとも2008 年までさかのぼることができます。BLACKGEAR は、日本、韓国、台湾の公的機関、通信企業、その他の技術系企業を標的としてきました。例えば 2016 年の活動では、バックドア型マルウェア「Elirks」を始め、さまざまなマルウェアやツールを利用し、日本の組織を攻撃していたことが確認されています。BLACKGEAR の攻撃者は、独自のツールを開発し、非常に組織的な活動を行います。最新の攻撃ではそれらのツールに微調整が加えられていることが確認されました。
続きを読むトレンドマイクロは、2018 年 5 月上旬、メキシコを発信源とする「Mirai」の亜種を利用したネットワークスキャン活動を確認しました。この攻撃は、2018 年 4 月にブラジルで確認された、Mirai を模倣した中国発のネットワークスキャン活動に類似しています。異なる点は、今回検出された活動の一部で、光通信規格「Gigabit Passive Optical Network(GPON)」を利用する家庭用ルータの 2 つの脆弱性、「CVE-2018-10561」と「CVE-2018-10562」を狙う攻撃が確認されたことです。これらの脆弱性を利用すると、機器への侵入と「遠隔でのコード実行(Remote Code Execution、RCE)」が可能になります。
続きを読むトレンドマイクロでは、ユーザを保護するためにサイバー攻撃の監視を行っています。その監視の中で、日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」の新たな活動をこの 2018年 4月に確認しました。ChessMaster は 2017年 7月から確認されている攻撃キャンペーンであり、当初は学術界、メディア、政府機関のような日本の組織を標的としてさまざまな攻撃ツールと手法を駆使した攻撃を行っていました。
利用する手口の巧妙さから当初推測された通り、ChessMaster はその後もツールおよび手法を変化させながら活動を続けてきました。以前の活動では、「ChChes」のような「Remote AccessTool(RAT)」を利用していましたが、2017年9月以降は新しいバックドア型マルウェア「ANEL(エイネル)」の利用を確認しています。今回も、複数の脆弱性を利用するANELの新たな亜種(「BKDR_ANEL.ZKEI」として検出)の利用が確認されました。
続きを読む
