トレンドマイクロでは、Xcodeの開発者向けプロジェクト関連で、異常な感染を確認しました。さらに調査を進めたところ、特定の開発者のXcodeプロジェクト全体にソースマルウェアが含まれており、不正ペイロードの取得につながることが判明しました。本記事では、Mac向けマルウェア「XCSSET」に関する調査結果を要約します。この攻撃の詳細については、こちらの技術的詳細から確認可能です。トレンドマイクロでは、最初に侵入するマルウェアを「TrojanSpy.MacOS.XCSSET.A」として、そしてコマンド&コントロール(C&C)に関連するファイルを「Backdoor.MacOS.XCSSET.A」として検出しました。
図1:ソースマルウェアを含むXcodeプロジェクトのサンプルとそのコンテンツの例 (さらに…)
続きを読む2020年7月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット(IoT)を対象とするボット「Mirai」のダウンローダ(Trend Microでは「Trojan.SH.MIRAI.BOI」として検出)を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の1つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。 (さらに…)
続きを読むトレンドマイクロでは、今年の7月に入ってすぐ、新しいマルウェア「ThiefQuest(別名:EvilQuest)」を確認しました。このマルウェアは、macOSデバイスを狙って、ファイルを暗号化し、影響を受けるコンピュータ内にキーロガーをインストールします。ThiefQuestは、一般的なファイル共有のためのトレントサイト上で共有されていた海賊版のmacOSから発見されています。このマルウェアの動向は、ウイルス対策ソフトを提供する「MalwareBytes」、コンピュータヘルプサイト「BleepingComputer」、およびセキュリティリサーチャであるDinesh Devadoss氏、Phil Stokes氏、Patrick Wardle氏、そしてThomas Reed氏によっても調査されています。また、Objective-See社も最新のマルウェア詳細調査を公表しています。これらの調査では、マルウェアを利用した身代金要求が主な攻撃方法ではなく、ファイルの抽出、C&C通信、キーロギングなどのその他の関数を偽装するための先手であるとしています。この推測は、最近確認された内容でも裏付けられています。 (さらに…)
続きを読む※9月7日11時30分IoC情報更新(当初公開9月3日21時)
トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。
サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて(2020年9月3日)」 (さらに…)
続きを読むトレンドマイクロでは2020年上半期(1~6月)における国内外での脅威動向について分析を行いました。2020年、新型コロナウイルスのパンデミック(世界的大流行)によって、世界に大きな変化がもたらされることは、誰も予想していなかったことでしょう。コロナ禍が及ぼした大きな影響は、実世界においてもサイバー世界においても「新たな日常」となりました。サイバー犯罪者はこの状況を利用し、メール、ソーシャルメディア、不正サイト、偽アプリなど、幅広いプラットフォームでさまざまな手口を駆使した攻撃を次々に展開しました。特にこの上半期の期間、国内におけるフィッシング詐欺は過去最大規模となりました。これは多くの利用者において、ネットワークアクセスに費やす時間が長くなっていることなども影響しているものと考えられます。
トレンドマイクロでは最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバを狙う活動を確認しました。確認されたマルウェアは分散型サービス妨害(DDoS 、Distributed Denial of Service)の実行を目的とした「XORDDoS」(トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出)と「Kaiji」(トレンドマイクロでは「DDoS.Linux.KAIJI.A」として検出)です。 (さらに…)
続きを読むGoogle Chromeの拡張機能が、ユーザのアクティビティ履歴の追跡と個人情報の窃取を目的とした不正活動で使用されていたことが、セキュリティ企業「Awake」によって報告されました。この不正活動のコマンドアンドコントロール(C&C)のインフラとして、正規レジストラで取得したドメインを使用している不正なChrome拡張機能111個が3カ月間で確認されました。2020年5月初旬の調査時点で、これらの不正な拡張機能は約3,300万件ダウンロードされていました。トレンドマイクロでも同様の手法を使う攻撃のレポートを2020年5月に報告しておりましたが、不正なブラウザの拡張機能の利用と攻撃のためのインフラについて共通点がありましたので紹介します。 (さらに…)
続きを読む
