トレンドマイクロでは、「Twin Flower(ツインフラワー、注:中国語「双生花」を意訳したもの)」の新しい活動を確認し、これに関連する検体「PUA.Win32.BoxMini.A」、「Trojan.JS.TWINFLOWER.A」、および「TrojanSpy.JS.TWINFLOWER.A」の解析を行いました。Twin Flowerの活動は、中国のキングソフト社のセキュリティリサーチャーが2018年に公開した調査によって初めて確認されました。今回確認されたファイルは、不正サイトにアクセスした際にユーザが気づかないうちにダウンロードしてしまうか、別のマルウェアによってコンピュータ上にドロップされてしまうと考えられています。今回の調査から、Twin Flowerキャンペーンでは、ブラウザからの情報窃取と共に、特定サイトへのアクセスを不正に操作することで不正なWeb検索結果の操作や広告収入獲得のための活動が行われていることがわかりました。 (さらに…)
続きを読む「アドウェア」はその名前が示すように広告を表示させるソフトウェアであり、普段あまり注目を集めることはありません。その多くは無害なものと考えられており、リスクについても低く評価されています。しかし今回トレンドマイクロでは、XDRを含むトレンドマイクロ製品により収集された証跡と検体の解析から、悪質ともいえる活動をアドウェアが行う例を多数確認しました。検出した複数のアドウェアで共通して観察された活動には、「子音と母音が交互に並ぶランダムなドメイン名」へのアクセス、スケジュールされたタスク、そしてWScriptを介したメモリ内実行など、自身の活動を効果的に隠ぺいする手法が含まれていました。中には少なくとも4年の間活動を継続していたとみられる事例もありました。 (さらに…)
続きを読む新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool(RAT)」を悪用する、同様の手口を用いた攻撃を確認しました。
続きを読むトレンドマイクロのリサーチャーは、不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」形式で非表示設定し、隠蔽する手口を確認、その詳細解析を行いました。Microsoftのドキュメントに記載されている通り、VBAマクロを使用してブック内のシートが非表示にされている場合、Microsoft Excelの一般機能からはシートを操作することができません。この不正マクロを含む不審なファイルは、スパムメールの添付ファイルとして使用されていました。 (さらに…)
続きを読む台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。
トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の2つのランサムウェアファミリー「Lockergoga」(「LOCKERGOGA」ファミリーとして検出対応)および「Freezing」(「FREEZING」ファミリーとして検知対応)、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。
トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。 (さらに…)
続きを読むトレンドマイクロは2020年3月末、サイバー諜報活動と推測されるキャンペーンを確認し、「Project Spy(プロジェクトスパイ)」と名付けました。Project Spyは、Android端末の場合「AndroidOS_ProjectSpy.HRX」、 iOS端末であれば「IOS_ProjectSpy.A」として検出される情報窃取型不正アプリ(スパイウェア)を感染させます。Project Spyは新型コロナウイルスの世界的流行をおとりとして利用し、「Corona Updates」というアプリに偽装し不正アプリを配布していました。しかし調査をするうちに、それよりも以前に配布されていたGoogleサービスと音楽のアプリを偽装する初期バージョンも確認できました。なお、これらの不正アプリは、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレナダ、ロシアにおいてダウンロードされており、そのダウンロード数は比較的少数であったことも確認されています。 (さらに…)
続きを読むトレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap(オーバートラップ作戦)」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告(マルバタイジング)経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。
- URLリンクを含んだメールにより、ネットバンキングのWebサイトを偽装したフィッシングページへ利用者を誘導
- URLリンクを含んだメールにより、不正サイトへ誘導し、ダウンロードされるファイル(実はマルウェアの実行ファイル)を実行させる
- 不正広告経由でエクスプロイトキットを使用しマルウェアを配信
本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン(オンライン銀行詐欺ツール)「Cinobi(シノビ)」(トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出)について解説します。 (さらに…)
続きを読むAndroid向け不正アプリ「Geost(ゲオスト)」は、ロシアのモバイルバンキングを標的とするバンキングトロジャンの活動を行うものです。Geostのボットネットによる被害者は、Virus Bulletinで調査報告が公開された昨年2019年の時点で、80万人を超えていました。調査によって、Geostがユーザから収集する情報や、利用する手法、そしてボットマスターとボットネット間で行われる通信など、ボットネットの背後にあるグループの活動について明らかにされています。
続きを読む
