2021年に出現したランサムウェアファミリの中でも特に注目に値する「Hive」は、わずか4ヶ月間で300社以上の法人組織を侵害したと報告されており、同年下半期に波紋を広げました。これによりHiveの背後にいる攻撃者グループは、数百万米ドル(数億円)の利益を得た可能性があります。トレンドマイクロはその後、2022年3月にほとんど未知のランサムウェア「Nokoyawa」の攻撃手法が、Hiveと多くの共通点を持つことを発見しました。この2つのファミリは、使用するツールから様々な段階での実行順序に至るまで、攻撃チェーンにおける明らかな類似点を共有しています。現在Nokoyawaは南米の、主にアルゼンチンに拠点を置く組織を標的にしていると考えられます。
続きを読む本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。トレンドマイクロが観測したマルウェアについて、その機能や特徴を定義するため、MITRE ATT&CK TTPs(Tactics、Techniques、Procedures)を用いました。
本調査より、IoT Linuxマルウェアは、特にIoTボットネットを構築するものについて、継続的に進化していることが分かりました。時間とともに実装する機能の追加、または、削除が見られます。とりわけ、データ送出や水平移動(ラテラルムーブメント)の機能ではなく、局所集中型の感染を引き起こす機能の進化に力が向けられる傾向があります。
表1に、トレンドマイクロが収集したマルウェア関連データの中で、最も多く実装されている機能やテクニックの上位10個を示します。
| ATT&CK Tactic | Technique (TTP) |
マルウェア ファミリ数 |
| Discovery(探索) | T1083:File and Directory Discovery(ファイルとディレクトリの探索) | 10 |
| Command and Control(コマンド・コントロール) | T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル: Webプロトコル) | 9 |
| Initial Access(初期アクセス) | T1133:External Remote Services (外部リモートサービス) | 8 |
| Execution(実行) | T1059.004:Command and Scripting Interpreter: Unix Shell(コマンド・スクリプトインタプリタ: Unixシェル) | 7 |
|---|---|---|
| Impact(影響) | T1498.001:Network Denial of Service: Direct Network Flood(サービス拒否・直接フラッド攻撃) | |
| Credential Access(認証情報アクセス) | T1110.001:Brute Force Password Guessing(ブルートフォースパスワード推定) | 6 |
| Discovery(探索) | T1057:Process Discovery(プロセス探索) | |
| Execution(実行) | T1106:Native API(ネイティブAPI) | 5 |
| Impact(影響) | T1486:Data Encrypted for Impact(データ暗号化) | |
| Defense Evasion(防御回避) | T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除) | 4 |
| Lateral Movement(水平移動・内部活動) | T1210:Exploitation of Remote Services(リモートサービス不正使用) | |
| Persistence(永続化) | T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron) |
先日トレンドマイクロは、クロスレイヤの検知と対応(XDR)機能を搭載する脅威防御のプラットフォーム「Trend Micro Vision One™」を用いて、ランサムウェア「BlackCat」の背後にいる攻撃者グループに関連する事例を調査しました。ランサムウェア「BlackCat(別称:AlphaVM / AlphaV)」は、プログラミング言語「Rust」で作成されているほか、ランサムウェアをサービス化して提供するビジネスモデル「Ransomware as a Service(RaaS)」のもとで運用されているランサムウェアファミリの一つです。トレンドマイクロのデータによれば、BlackCatランサムウェアは主にサードパーティ製のフレームワークやツール群(Cobalt Strikeなど)を介して配信されているほか、侵入口として脆弱な公開アプリ(Microsoft Exchange Serverなど)を悪用することがわかっています。
続きを読む
トレンドマイクロのManaged XDRチーム(以下、MDRチーム)では、ランサムウェア「LockBit」をペイロードとしてドロップするために攻撃者によって利用されたローダ型マルウェア「BLISTER」による用心深い挙動を観測しました。MDRチームでは、緻密な監視と迅速な対応によって、双方におけるペイロードの実行を阻止しました。
BLISTERとSocGholishは共にステルス性が高く、有害なペイロードを送りこむ際に検出回避を試みる手口で知られています。特に、攻撃キャンペーンで一緒に利用されることで知られており、SocGholishの侵入後、BLISTERが第二段階としてメインのペイロードをドロップする形で攻撃が行使されてきました。両者を組み合わせることで、攻撃者は巧みに検出を回避し、メインとなるペイロード(特に今回はLockBit)を標的に向けてドロップ・実行しようとします。今回の調査では、これら第一段階のマルウェアが事前に阻止されなかった場合に何が引き起こされるのかを解説します。
続きを読むREvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。
REvil(別名:Sodinokibi)は、RaaS(Ransomware as a Service)のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。
それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。
トレンドマイクロでは2021年1年間における国内外での脅威動向について分析を行いました。2021年、多くの企業や組織で急速なデジタルトランスフォーメーション(DX)が進む中、サイバー犯罪者はコロナ禍の状況に便乗し、さまざまな不正活動や攻撃の機会を捉え、新旧さまざまな脅威をもたらしました。
.jpg)
Povlsomware(Ransom.MSIL.POVLSOM.THBAOBAなどとして検出)は概念実証(PoC)の目的で作成されたランサムウェアであり、2020年11月にGithub上で公開されたものです。Githubのページによると、セキュリティ製品のランサムウェア防御機能を「安全に」テストする目的で使用されると述べられています。Povlsomwareは現時点ではそれほど注目を集めておらず、話題として取り上げているサイトが2つか3つある程度です。しかしながら、その特徴には興味深い点がいくつかあります。特に、商用のペネトレーションツールであり、RyukやDoppelPaymerなどのランサムウェアファミリにも悪用されているCobalt Strikeとの互換性は注目に値します。この互換性により、一見シンプルな感染ルーチンが示す以上の能力をランサムウェアに与えています。さらに、この不正プログラムはオープンソースであるため、誰もが変更を加え、攻撃チェーンの一部として使用できます。
