ホーム » サイバー攻撃

サイバー諜報活動集団「Patchwork」について解説

投稿日:2017年12月13日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro Cyber Safety Solutions Team

「Patchwork（別名：Dropping Elephant）」は、外交機関や政府機関、企業等を標的とするサイバー諜報活動集団です。Patchwork という名称は、自身の活動のために既製のツールやマルウェアを修正して利用することに由来しています。ゼロデイ脆弱性を利用し対象に合わせて戦術を調整するその他の集団とは異なり、利用する手法は目新しいものではないかもしれません。しかし、さまざまな感染経路やマルウェアを駆使する Patchwork の攻撃は確かな脅威となっています。

トレンドマイクロは、2017 年に確認された Patchwork の活動を追跡しました。彼らが利用するソーシャルエンジニアリングの手法、攻撃手順、バックドア型マルウェアはそれぞれ多岐にわたります。他にも、「Dynamic Data Exchange（動的データ交換、DDE）」と「Windows Script Component（SCT）」の悪用や、新しく報告された脆弱性の利用も確認されるようになってきました。このような状況から、Patchwork は自身の目的に合わせて再利用するために、その他の脅威や脆弱性に注意を払っていることがうかがえます。また、より慎重かつ効果的に活動しようとしている点も注目に値します。

(さらに…)

「COBALT」再来：マクロか脆弱性を利用する２通りの標的型メール攻撃、ロシアの金融機関も対象

投稿日:2017年12月1日
脅威カテゴリ:サイバー攻撃, 脆弱性
執筆:Trend Micro

「COBALT」再来：マクロか脆弱性を利用する２通りの標的型メール攻撃、ロシアの金融機関も対象

トレンドマイクロは、ロシア語を使う企業を狙いバックドア型マルウェアを送り込む標的型メールの送信活動を 2017年6月から7月にかけて確認し、報告しました。そして今回、その攻撃は、実際には大きな攻撃キャンペーンの序盤であったことが判明しました。攻撃者は、利用されている技術から、ハッカー集団「COBALT（コバルト）」であると考えられています。最近の COBALT による標的型メールには、マクロを利用したものと脆弱性を利用したもの、２つの手法が確認されています。さらに、ソーシャルエンジニアリングによって、Eメールを受信した銀行員が緊急感を持つように細工されていました。

(さらに…)

標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用

投稿日:2017年11月14日
脅威カテゴリ:不正プログラム, メール, サイバー攻撃, 脆弱性, TrendLabs Report, 感染媒体
執筆:Trend Micro

「REDBALDKNIGHT（別名：BRONZE BUTLER、Tick）」は、主に日本の法人を対象として諜報活動を実行するサイバー攻撃集団です。標的には、バイオテクノロジー企業、電子機器製造企業、工業化学企業、および政府関連機関が含まれます。REDBALDKNIGHT の攻撃キャンペーンでは、バックドア型マルウェア「DASERFDASERF（別名：Muirim、Nioupale）」（「BKDR_DASERF」として検出）が利用されています。この DASERF は主に下記のような4つの機能を備えています。

シェルコマンドの実行
情報のダウンロード／アップロード
スクリーンショットの取得
キー入力情報の記録

(さらに…)

標的型サイバー攻撃キャンペーン「ChessMaster」の新しい戦略：変化を続けるツールと手法

投稿日:2017年11月10日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、2017 年 7 月、本ブログにて標的型サイバー攻撃キャンペーン「ChessMaster」の諜報活動について解説しました。ChessMaster は、「ChChes」、「RedLeaves」、「PlugX（※1）」のような「Remote AccessTool（RAT）」をはじめ、さまざまなツールやマルウェアを利用し、主に日本の法人を標的として攻撃します。2017 年 9 月下旬、トレンドマイクロはChessMasterによる新しい活動を確認しました。利用されたツールと手口は注目すべき変化を遂げており、以前の攻撃では確認されていないものでした。弊社の調査によると、ChessMasterはオープンソースのツールと自ら開発したツールを利用し、おそらく攻撃者の特定を逃れるために、その手法を変化させ続けています。ChessMasterによる攻撃キャンペーンのこれまでの経緯を踏まえると、今後もさらなる変化が予想されます。

(さらに…)

北朝鮮インターネット事情

投稿日:2017年10月27日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro Forward-Looking Threat Research Team

北朝鮮のインターネットは、ハッカーが北朝鮮国内から国外にアクセスするのみで、外からはアクセス不可能な一方通行のネットワークだと一般には考えられているようです。2014 年の「Sony Pictures」に対するハッキングや、各国銀行を襲ったサイバー銀行強盗は、北朝鮮の攻撃者によるものだと報告されています。これらの事例と北朝鮮を関連づけるために入手可能な公開情報は、北朝鮮の IP アドレス空間からのインターネット通信です。同国のインターネットは厳しく管理されており、ネットワーク内の PC が攻撃を受けることも無いと考えられているかもしれません。では、国外のサイバー犯罪者が管理するボットが 1 年以上にもわたって北朝鮮で活動できた理由は何でしょう。通常のマルウェアが北朝鮮の PC を感染させることは可能なのでしょうか。また、北朝鮮に割り振られた IP アドレスはすべて同国で使用されているのでしょうか。本記事では、これらの問いについて調査することにより、北朝鮮によるものだと考えられていた攻撃について得られた知見を解説します。

(さらに…)

サイバー犯罪からサイバープロパガンダへ

投稿日:2017年10月17日
脅威カテゴリ:不正プログラム, フィッシング, ソーシャル, サイバー犯罪, サイバー攻撃, TrendLabs Report
執筆:Trend Micro Cyber Safety Solutions Team

インターネット上で世論を操作する「サイバープロパガンダ」や、社会的および政治的な主張のもとでハッキングなどの手段を使って行動する「ハクティビズム」に関して、

誰が
どこで関連ツールを入手し、技術を取得して
どんな手口を使うのか

といった疑問が挙がってくるでしょう。その回答の 1つとして、少なくとも従来のサイバー犯罪者が関与していることは疑いの余地はありません。

トレンドマイクロは、リビアに拠点を置くサイバー犯罪者が、通常のサイバー犯罪と同時にサイバープロバガンダの活動も実行している事例を確認し、本稿で報告します。

(さらに…)

韓国で確認されたサイバー攻撃「OnionDog 作戦」を綿密調査

投稿日:2017年8月17日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro Forward-Looking Threat Research Team

本記事では、比較的小規模の標的型サイバー攻撃「OnionDog（オニオンドッグ）作戦」について解説します。この攻撃キャンペーンは、韓国の電力および輸送業界の重要人物を標的として3 年以上にわたって毎年実行されたとされており、報道機関からもある程度の注目を集めました。

近年、メディアやセキュリティ業界で注目を集めるワードの 1 つに「北朝鮮」があります。最近では、各国の銀行から多額の資金を窃取したサイバー犯罪者集団「Lazarus」と北朝鮮との関連が噂され、多くの関心を集めていますが、この OnionDog 作戦についても北朝鮮と関連付ける報道が見られています。しかし、OnionDog 作戦の攻撃手法についてトレンドマイクロが綿密に調査した結果、標的型サイバー攻撃だと考えられていた OnionDog 作戦が、実はサイバー攻撃演習だったという興味深い事実に到達しました。

(さらに…)

Webサイトを狙ったサイバー攻撃、2016年の公表事例から見る傾向とは？

2017 年 2 月、3 月と Web サイト関連の深刻な脆弱性が立て続けに発覚し、国内外の複数の Web サイトがこれらの脆弱性を狙ったサイバー攻撃の被害に遭いました。国内では複数の Web サイトで大規模な情報漏えいが発生し、トレンドマイクロでも Web サイトのセキュリティ対策強化セミナー（セミナーの内容はこちらを参照してください）を緊急開催するなど、企業に向けて早急な対応を呼びかけていました。

(さらに…)

不正広告キャンペーン「AdGholas」、追跡困難化した脆弱性攻撃の利用で攻撃を拡大

トレンドマイクロでは、日本にも影響が確認されている不正広告キャンペーン「AdGholas（アドゴラス）」に対し、監視と調査を継続しています。そして今回、「AdGholas」関連の攻撃でのみ利用が確認されている脆弱性攻撃ツール（エクスプロイトキット）「Astrum Exploit Kit （Astrum EK）」が不正トラフィックの検出を困難化させるため「Hyper Text Transfer Protocol Secure （HTTPS）」を利用していることを突き止めました。ブラウザとアプリケーション間の接続が「Transport Layer Security（TLS）」で暗号化される HTTPS は、ネットバンキングやオンラインショッピングなどの機密性が必要とされる通信を保護するために使用されていますが、それを悪用した活動と言えます。「Astrum EK」については「ディフィー・ヘルマン鍵交換（DH鍵交換）」を利用し、監視ツールあるいはセキュリティリサーチャによる不正ネットワークトラフィックの解析を阻止する手口が 2017年５月に確認されており、さらなる「改良」が加えられたものです。

(さらに…)

国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用

2017年5月19日の本ブログ記事でも取り上げた大規模なメール拡散事例など、国内ネットバンキングを狙う不正プログラムの活動が再び活発化しています。実際に拡散されるオンライン銀行詐欺ツールは、「URSNIF（アースニフ）」（別名「DreamBot（ドリームボット）」）に集中しており、現在日本のネットバンキングを狙う不正プログラムとして中心的な存在となっています。この 5月中旬の大規模メール拡散事例以降に入手した「URSNIF」の活動を解析したトレンドマイクロのエンジニアは、「Bootkit（ブートキット）」と呼ばれる特殊な不正プログラムをコンピュータに感染させ、自身の感染の痕跡を消去する巧妙な活動の存在を突き止めました。メール経由の拡散の活発化とほぼ同時に、新たに巧妙な活動を取り入れた亜種が登場したことになります。

(さらに…)

Page 2 of 18 ‹ 123 › »