ホーム » 不正プログラム

情報窃取型マルウェア「BazarLoader」にて侵害されたインストーラとISOファイルの悪用を確認

投稿日:2021年12月27日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

トレンドマイクロでは、情報窃取型マルウェア「BazarLoader」（トレンドマイクロ製品では「TrojanSpy.Win64.BAZARLOADER」、「TrojanSpy.Win64.BAZARLOADER」、「Backdoor.Win64.BAZARLOADER」として検出）を用いたキャンペーンの監視を続けています。情報セキュリティフォーラムは、2021年第3四半期にBazarLoaderの検出数が急増したことを報告していますが、トレンドマイクロは、攻撃者がデータの窃取やランサムウェア攻撃に悪用するために、既存の配信手法に新たな到達メカニズムを2つ追加していたことを発見しました。

そのうちの1つは、攻撃者が正規プログラムにBazarLoaderを同梱するために侵害されたソフトウェアインストーラを用いるというものです。もう1つは、Windowsショートカットファイル（.LNK）とダイナミックリンクライブラリ（.DLL）のペイロードを含むISOファイルを使用するというものです。トレンドマイクロは、BazarLoaderの最も検出数の多い地域がアメリカ大陸であることを観測しました。BazarLoaderの感染チェーンやキャンペーンに関する技術的分析や洞察については、トレンドマイクロの技術論文「BazarLoader Looking In: Analyzing the Infection Chains, Stages, and Campaigns（英語）」をご確認ください。

(さらに…)

休止と再開を繰り返す「QAKBOT」の新たな攻撃手法

「QAKBOT（別名QBOT）」は広範囲に流行している情報窃取型マルウェアで、2007年に初めて確認されました。近年では、QAKBOTの検出が、多くの深刻なランサムウェア攻撃の前兆となっていることが確認されています。QAKBOTは、今日の多くのサイバー攻撃活動を可能にしているビジネス「マルウェアをインストールするサービス（malware installation-as-a-service）」の主力ボットネットであることもわかっています。このような初段の侵入で使用されるボットは、数カ月月単位で活動休止する場合があることが知られています。今年1月末のテイクダウンから10カ月月振りにEMOTETが活動を再開したことは11月18日の記事でお伝えしていますが、本記事で取り上げるQAKBOTも、約3カ月の休止期間を経て、2021年9月末からスパムメール送信活動の再開が確認されました。具体的には、マルウェアスパムの配信業者である「TR」が、別のマルウェアローダーである「SquirrelWaffle」やQAKBOTへ誘導する悪質なスパムメールを送信していたことが確認されています。また、10月上旬には、同じ「TR」がIMAP（Internet Message Access Protocol）サービスにブルートフォース攻撃を実行していたと報告されており、セキュリティリサーチャーの間では、「TR」が攻撃に必要な認証情報を取得するために「ProxyLogon」(Microsoft Exchange Serverの脆弱性)を使っているのではないかという憶測も流れています。

図1： QAKBOT関連のマルウェアスパムの検出推移（2021年5月10日～10月25日）
6月下旬から9月中旬までマルウェアスパムが出回っていなかったことがわかる

(さらに…)

テイクダウンされた「EMOTET」が活動再開

今年1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。当ブログでも2月1日の記事でお伝えしておりましたが、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバ（C&Cサーバ）などの活動再開を確認しています。

図：「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだWord文書ファイルの例

(さらに…)

macOS向け端末エミュレータ「iTerm2」を偽装する攻撃手口を解説

投稿日:2021年10月28日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

2021年9月初め、中国のQ&Aサイト「知乎（Zhihu）」上であるユーザが、『検索エンジンで「iTerm2」というキーワードを検索した結果、正規サイト「iterm2.com」を偽装した「item2.net」という偽サイトに繋がった』と報告したことを確認しました（図1）。この偽サイト内に記載されているリンクからは、macOS向け端末エミュレータ「iTerm2」の偽バージョンがダウンロードされます。この偽アプリが起動されると、47[.]75[.]123[.]111から悪意のあるPythonスクリプト「g.py」をダウンロード・実行して、感染端末から個人情報を収集します。トレンドマイクロ製品ではiTerm2の偽バージョンを「TrojanSpy.MacOS.ZURU.A」として、悪意のあるスクリプトを「TrojanSpy.Python.ZURU.A」として検出します。

(さらに…)

正規ソフトの偽インストーラを利用した攻撃活動の手口を解説

投稿日:2021年10月22日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

サイバーセキュリティにおいて、「ユーザ」つまりシステムを利用する人間が最も脆弱な存在として、攻撃者に認識されていることは広く知られています。これはユーザが、攻撃における典型的な侵入経路として、ソーシャルエンジニアリング手法の対象となることを意味しています。法人組織もまた、ユーザを起点とするセキュリティ上の弱点に悩まされています。時に従業員はインターネット上の脅威に気付いていないことや、サイバーセキュリティのベストプラクティスに精通していないことがありますが、攻撃者はこれらのセキュリティ上の弱点を悪用する方法を熟知しています。

攻撃者がユーザを騙す方法の1つとして、未認証のアプリやインストーラを餌としてユーザの興味を引き、それらをインストールさせた後に悪意のあるペイロードを送り込むというものがあります。近年トレンドマイクロは、攻撃者がこれらの偽インストーラを利用して、同梱させたマルウェアを感染PC端末上に配信する手口を確認しています。これらの偽インストーラを利用した攻撃手口は目新しいものではなく、ユーザを騙して悪意のあるドキュメントを開かせたり、不要なアプリをインストールさせたりする手口は古くから広く用いられています。ユーザの中には、有料アプリの無料版やクラック版（不正に改変されたアプリ）をインターネット上で検索した際に、この罠にかかってしまう人もいます。

(さらに…)

情報窃取型マルウェア「FormBook」がOffice 365ゼロデイ脆弱性(CVE-2021-40444)を悪用

トレンドマイクロでは、2016年以降、拡散されている情報窃取を行うマルウェア「FormBook」の最新バージョンを使用した新たな攻撃を検出しました。過去数年、macOSの拡張サポートを始め、FormBookに関する複数の解析結果が公表されています。FormBookは高度に難読化されたペイロードであり、文書ファイルの脆弱性を悪用していることでよく知られています。最近までFormBookの攻撃では、CVE- 2017-0199が利用されていましたが、新たなFormBookの亜種は、最新のOffice365ゼロデイ脆弱性（CVE-2021-40444）を利用しています。

(さらに…)

「クリプターサービス」で大量のRATを送り付ける攻撃キャンペーン「Water Basilisk」

投稿日:2021年10月8日
脅威カテゴリ:不正プログラム, メール, フィッシング, サイバー攻撃, 攻撃手法
執筆:Trend Micro

トレンドマイクロは、被害者のシステムに大量の遠隔操作ツール（RAT）を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」（クリプターサービス）として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。

(さらに…)

マルウェアがSSL/TLS証明書を悪用する手口を解説

投稿日:2021年10月5日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

近年のマルウェアは、自身のネットワークトラフィックを隠匿するために暗号化を行うことが増えています。一般的なネットワーク通信の暗号化が普及していることを考えると、これは当然のこととも言えます。Googleの透明性レポートでは、Google Chromeブラウザを経由するネットワークトラフィックの大部分はHTTPSトラフィックであることが報告されています。

トレンドマイクロでは過去6年間で、汎用性の高いマルウェアおよび標的型攻撃に用いられるマルウェアの両方で暗号化が多用されていることを確認しています。これらの暗号化は、検出回避や暗号化された通常のトラフィックに不正な通信内容を混入させるために行われます。マルウェアだけでなく、Cobalt Strike、Metasploit、Core Impactなどの商用のペネトレーションテスト（侵入テスト）ツールでも暗号化が用いられています。これらの事例における証明書の利用は多くの場合、SSL/TLS暗号化通信で通常使用されるX.509証明書の利用にまで及びます。

(さらに…)

標的型RATと同一のファイルレス活動を持つMac向けアドウェア「Bundlore」を解析

投稿日:2021年10月1日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

リモートアクセストロジャン（RAT）である「NukeSped」のサンプルの調査中、トレンドマイクロは、NukeSpedに散見されるものと同一のファイルレスルーチンを使用している「Bundlore」アドウェアのサンプルを複数検出しました。

RATであるNukeSpedを拡散させているのは標的型の攻撃者であるLazarusとされています。Lazarusは2014年以降、活発に攻撃を展開しています。NukeSpedの亜種は複数確認されており、多くは32ビットシステム上で稼働するように設計されています。検出回避を狙う活動として、暗号化された文字列を使用しています。最近では、Lazarusによるサイバー諜報活動の一環として、NukeSpedをより複雑化した「ThreatNeedle」と呼ばれるRATも出現しています。次に、Bundloreは、正規アプリのダウンロードを偽装し、ターゲットのデバイスにアドウェアをインストールするマルウェアファミリーです。本サンプル中から検出した、暗号化されたMach-Oファイル（macOSでの実行可能形式ファイル）は、Bundloreアドウェアのステルス活動をメモリに内在する脅威、つまりファイルレス活動へとアップグレードしていました。また、BundloreはmacOS向けのアドウェアであり、昨年は当時の最新バージョンであるmacOS Catalinaでの攻撃が確認されていました。

(さらに…)

攻撃者グループ「StrongPity」がAndroidマルウェアを用いた標的型攻撃を開始か

投稿日:2021年9月29日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

トレンドマイクロでは最近、シリア電子政府サイト上に掲載された悪意あるAndroidマルウェアのサンプルに関する調査を実施しました。トレンドマイクロでは攻撃者グループ「StrongPity（別名：PROMETHIUM）」の犯行の可能性が高いと考えています。また、弊社の知る限り、同グループが攻撃の一環としてAndroid向け不正アプリを使用していることが確認されたのは、今回が初めてです。

本ブログ記事では、Androidマルウェアに関連した同グループの攻撃の戦術・技術・手順（TTP）および今回の攻撃活動の帰属が攻撃者グループ「StrongPity」であると判断した理由について取り上げます。

(さらに…)

Page 1 of 10412 › »