トレンドマイクロは、2019年4月、「Magecart」として知られるスキミング攻撃を確認しました。この攻撃は、新たに確認されたサイバー犯罪集団「Mirrorthief」によって実行されたもので、米国とカナダの大学が運用する201のオンラインストアが影響を受け、ユーザのクレジットカード情報が窃取されました。
続きを読むトレンドマイクロは、スパムメールに記載されたリダイレクトURLを利用して拡散するバンキングトロジャン「Trickbot」の亜種(「TrojanSpy.Win32.TRICKBOT.THDEAI」として検出)を確認しました。この亜種は、「url?q=<不正なURL>」のようなクエリ文字列(URLパラメータ)を利用してユーザを不正なURLにリダイレクトします。そして、この特定の事例では、「hxxps://google[.]dm:443/url?q=<TrickbotのダウンロードURL>」のようにリダイレクト元のURLとしてGoogleが利用されました。正規URLからリダイレクトするこの手口は実際にスパムメールが届いた際、Trickbotをブロックする可能性のあるスパムフィルタを回避することに役立ちます。
(さらに…)
トレンドマイクロでは2019年第1四半期(1~3月)における国内外での脅威動向について分析を行いました。数年前まで全世界的に猛威を振るっていたランサムウェアの攻撃は2018年には急減し、既に終わった脅威のように思われているかもしれません。しかし法人でのランサムウェア被害事例の中からは、明確に法人組織を狙った標的型攻撃の中でランサムウェアが使用されたと言える事例が複数確認されており、事業継続を脅かすような深刻な被害を与える存在となっています。
続きを読むトレンドマイクロは、新しい「Tech Support Scam」(テクサポ詐欺、サポート詐欺)キャンペーンを確認しました。このサポート詐欺は、ユーザのブラウザを操作不能にするために、ベーシック認証のポップアップと組み合わせながらiframeを利用します。この手法は新しくあまり知られていないため、セキュリティ対策ソフトによる検出を回避できる可能性があります。多くのサポート詐欺活動同様に、標的となったユーザを惹きつけるために、正規または有名なブランドのサービスプロバイダを装います。この活動では特にMicrosoftを使用しています。
(さらに…)
ソフトウェア開発企業「Atlassian」は、2019年3月、広く利用されているコラボレーションソフトウェア「Confluence」の2つの脆弱性に関するセキュリティ勧告を公開しました。トレンドマイクロは、2019年4月、問題の脆弱性の1つ「CVE-2019-3396」を利用する攻撃を確認しました。CVE-2019-3396は、Confluenceのインスタンスでパストラバーサルと遠隔からのコード実行が可能になる脆弱性です。同じ脆弱性が利用された事例として、セキュリティ企業「Alert Logic」は、暗号化型ランサムウェア「Gandcrab」を作成する攻撃について報告しています。
続きを読むボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.AESDDOS.J」として検出)が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。
弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。
- 分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃
- 遠隔からのコード実行(Remote Code Execution、RCE)
- 仮想通貨の発掘
Windowsインストーラは、プログラムをインストールするために、「Microsoft Software Installation(MSI)」パッケージファイルを使用します。各パッケージファイルには、プログラムのインストールまたは削除に必要な指示とデータを格納するリレーショナルタイプのデータベースが含まれています。
トレンドマイクロは、2019年4月、従来のセキュリティソリューションを回避し、他のファイルをダウンロードして実行する不正なMSIファイルを確認しました。攻撃者はこれらのMSIファイルのカスタムアクションを利用して、不正なスクリプトの実行やマルウェアの作成を行います。この手法を利用するマルウェアの1つは、特定のフォルダをチェックすることで対象とする銀行システムの有無を判定し、キー入力のようなイベントを待機して不正活動を行うものでした。また、再起動時に自身を実行し活動を持続する機能も備えていました。
(さらに…)
暗号化型ランサムウェア「Dharma」は2016年に登場していますが、世界中のユーザや法人を標的にしてその被害を拡大させ続けています。有名な攻撃として、2018年11月に「Dharma」が米国テキサス州の病院システムに感染した事例があげられます。保存されていた記録の多くが暗号化されましたが、 幸いなことに、病院は身代金を支払うことなくこの攻撃による被害から復旧することができました。トレンドマイクロは、2019年4月、検出回避のためにソフトウェアのインストールを利用してその活動を隠ぺいしようとするDharmaの新しい検体を確認しました。
(さらに…)
2014年に初めて確認されたバンキングトロジャン「Emotet」は、今日まで数年間にわたって流行を続け金銭的な被害をもたらしています。米国政府は、州および地方政府がEmotetの被害に対処するために要した費用は事例あたり最大約100万米ドル(2019年5月14日時点で約1億1千万円)にのぼると発表しています。残念なことに、Emotetは広く拡散し柔軟に変化するマルウェアです。Emotetの開発者はこれまでも新しい機能や拡散手法を継続して追加してきました。
トレンドマイクロは、2019年4月、感染後のトラフィックが以前のバージョンとは異なるEmotetの検体を確認しました。本記事では新しい検出回避の手法と考えられるこの感染後のトラフィックについて解説します。
続きを読むセキュリティリサーチャのJohn Page氏は、2019年4月中旬、Microsoft Internet Explorer(IE)において、XML External Entityインジェクションが可能になるゼロデイ脆弱性について公開しました。攻撃者がこの脆弱性を利用した場合、機密情報の漏えいや対象PCからローカルファイルが窃取されるなどの被害に遭う可能性があります。これに関して、Page氏はWindows 7、Windows 10、そしてWindows Server 2012 R2に最新の修正プログラムを適用した状態で「IE 11」の最新バージョンでこの脆弱性を検証しました。トレンドマイクロは、この脆弱性がどのように機能し、そこから生じ得る脅威をどのようにして軽減することができるかについてより深く理解するため、この攻撃の流れについて調査しました。
(さらに…)
