マルウェアキャンペーンの背後に潜む犯罪組織の正体を見極めるのは難しい作業です。サイバー犯罪者は標的であるユーザや企業を混乱に陥れたり、システムやネットワーク環境に危害を加えたりするために設計したソフトウェアに自身の正体が露呈するような痕跡を残すことはめったにありません。しかし、識別のカギとなる情報を既知の情報源と比較することで、そのキャンペーンが特定のサイバー犯罪集団によって実行された可能性が高いと判断することができます。これは犯罪組織が長年にわたり活動を継続し比較対象となる痕跡を多く残している場合、さらに信憑性が高くなります。トレンドマイクロが発見し「Operation Earth Kitsune」と名付けた標的型攻撃キャンペーンについてその「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」に関する詳細解析の結果をホワイトペーパー(英語)にまとめて公開し、本ブログでも概要について報告しました。このキャンペーンに関与した2種の新たなスパイ活動を行うバックドア型マルウェアを拡散する水飲み場型攻撃の技術的な詳細解析を行う中で、韓国を主な標的とすることで知られるサイバー犯罪集団「APT37(別名:Reaper、Group 123、ScaCruftなど)」に起因した別のマルウェアとの顕著な類似性を発見しました。
続きを読むフィッシングは現在もサイバー犯罪者がインターネット利用者を攻撃するうえで効果的な手口です。新型コロナウイルスの流行で消費者の購買手法が変化したことによってネットショッピングの利用は世界中で急激な増加を見せていますが、サイバー犯罪者もまたそれに対する攻撃キャンペーンを迅速に展開しています。トレンドマイクロでは昨年2020年末から、クレジットカード利用者を対象にした特定のフィッシングメールの攻撃キャンペーンに注目し、追跡しています。
このフィッシングキャンペーンの背後にいる攻撃者は、国営の郵便サービスによる配送に関連したフィッシングメールを送信し、利用者のクレジットカード番号を窃取します。送信されたフィッシングメールは、認証情報を詐取するためのフィッシングサイトへと利用者を誘導しようと試みます。この攻撃は、米国、スイス、中国、日本、シンガポールなど少なくとも26カ国に及ぶ広い範囲に送信されています。なお、このフィッシングキャンペーンについては、すでに香港の報道機関や米国でも報告されています。
2020年12月1日から2021年1月10日までの間に、郵便サービスを偽装する不審なフィッシング関連URL計279,308件(1日平均6,812件)が、トレンドマイクロのメール対策製品により検出されました。また、12月12日から18日までと、12月30日から1月5日までの期間において不審なURLの検出数が増加していることが確認されました。このようなデータからは、今後も郵便サービスを偽装するフィッシング攻撃が続くことが予想されます。
.jpg)
本ブログの2020年8月31日の記事では、2020年上半期(1~6月)における国内外での脅威動向分析について報告しました。新型コロナウイルスのパンデミック(世界的大流行)による都市封鎖や外出自粛の影響により、多くの企業においてはテレワークが必要不可欠なものとなりました。この急速な変更に対応するため、公私両面でのコミュニケーションに不可欠なツールとしてメッセージングアプリやビデオ会議アプリの需要が一気に高まりました。これらのアプリは、企業に従業員間のコミュニケーションを維持するための手段を提供しましたが、不正活動に新たな技術を統合しようと企てるサイバー犯罪者の関心を引く結果ともなりました。 (さらに…)
続きを読む本ブログでは2020年11月24日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連のキャンペーンについて言及するとともに、その後の継続した調査により確認された、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たな拡散活動(キャンペーン)の調査結果をまとめたホワイトペーパーについても要約する形で報告しました。弊社トレンドマイクロは、新たに確認されたキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名しました。新たなキャンペーンでは、過去のキャンペーンでも使用されたSLUBが多用されていたほか、当該キャンペーンと連携してスパイ活動を行う2種の新たなバックドア型マルウェア「agfSpy」および「dneSpy」の感染も確認されました。これら2種のバックドアは、攻撃者が割り当てる命名規則に倣う形で、最初の3文字を用いて命名されました。
過去に実施した一連のキャンペーンに関する調査では、SLUBは主にデータ窃取の目的に使用されていた一方で、新たなキャンペーンで確認されたagfSpyおよびdneSpyは、データ窃取のほかに感染端末の制御、つまり遠隔操作のためにも使用されていたことが確認されました。本ブログ記事では、新たなキャンペーンで使用されたSLUB、dneSpy、agfSpyの3種のバックドアに関する情報に加え、これらのバックドアが通信するコマンドアンドコントロール(C&C)サーバとの連動性や、Operation Earth Kitsuneに関連する不正活動の詳細について解説します。
図1は、この水飲み場型攻撃におけるバックドア感染までの流れを簡潔にまとめたものです。弊社は、スパイ活動を行うバックドアの通信活動を分析することで、指示を送信する5つのC&Cサーバを特定することができました。
※本記事は新型コロナウイルス(COVID-19)に便乗する脅威に関するまとめ記事です。
最終更新日:12月7日 前回更新日:4月30日 当初公開日:4月9日
また、特に日本国内で確認された便乗脅威に関しては以下のis702の記事でも最新事例を更新しておりますので参照ください。
is702:【注意喚起】新型コロナウイルスに便乗したネット詐欺などにご注意ください
新型コロナウイルス(COVID-19)の世界的な流行に便乗したサイバー犯罪者の活動に関し、前回公開の4月30日から11月11日までに確認した最新情報について、情報を更新いたしました。
続きを読む本ブログでは2019年3月14日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連の拡散活動(キャンペーン)に関する調査結果について詳説しました。そしてその後の継続した調査により、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たなキャンペーンを確認しました。トレンドマイクロではこの新たなキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名し、2020年10月には調査結果をホワイトペーパー(英語)としてまとめ、公開しました。バックドアSLUBの名称は、コミュニケーションプラットフォーム「Slack」とリポジトリホスティングサービス「GitHub」を悪用していたことから命名されたものですが、新たなバージョンのSLUBではどちらのプラットフォームも悪用されていません。代わりに、オンプレミスでも簡単にデプロイ可能なオープンソースのオンラインチャットサービス「Mattermost」が悪用されました。弊社では、プラットフォームが悪用されている事実について既にMattermost社に報告しています。
「MISPADU(ミスパドゥ)」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール(バンキングトロジャン)に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動(スパムキャンペーン)が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。
トレンドマイクロでは日夜脅威の監視と対応を行っています。その中からさまざまな脅威が利用する高度に開発された攻撃手法に着目しました。ランサムウェアにおいては、新たな暗号化型ランサムウェアファミリ「DARKSIDE(ダークサイド)」が出現する一方で、別のランサムウェアファミリ「CRYSIS」(別名Dharma)を背後で操る攻撃者がハッキングツールキットを一般に公開しました。メッセージ機能を悪用する脅威においては、攻撃対象を絞った標的型メールの送信活動(キャンペーン)を介して情報窃取型マルウェア「NEGASTEAL(ネガスティール)」(別名Agent Tesla)が拡散されました。またファイルレス活動を行う脅威においては、不正マイニングを狙い、コインマイナーが正規アプリケーションにバンドルされ頒布されていることが確認されました。
続きを読むサイバー犯罪者はしばしば、ソーシャルメディアや電子メール、SMSを利用してターゲットとなるユーザにメッセージやメールを送信し、不正サイトへ誘導する手口を利用します。 特に海外では「Romance Scam(ロマンス詐欺)」とも呼ばれる「出会い系詐欺」においては、インターネット上の出会い系サイトが誘導先となります。この5月、トレンドマイクロのリサーチャは、出会い系詐欺に関連するいくつかのキャンペーンを確認しました。これらのキャンペーンでは、類似した構成、レイアウトの不審なサイトが多数用意されており、日本から多くのユーザがアクセスしていることが確認されました。
