検索:
ホーム   »   不正プログラム

MITRE ATT&CK TTPsに基づくIoT Linuxマルウェアの分析

  • 投稿日:2022年5月16日
  • 脅威カテゴリ:ランサムウェア, ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。トレンドマイクロが観測したマルウェアについて、その機能や特徴を定義するため、MITRE ATT&CK TTPs(Tactics、Techniques、Procedures)を用いました。

本調査より、IoT Linuxマルウェアは、特にIoTボットネットを構築するものについて、継続的に進化していることが分かりました。時間とともに実装する機能の追加、または、削除が見られます。とりわけ、データ送出や水平移動(ラテラルムーブメント)の機能ではなく、局所集中型の感染を引き起こす機能の進化に力が向けられる傾向があります。

表1に、トレンドマイクロが収集したマルウェア関連データの中で、最も多く実装されている機能やテクニックの上位10個を示します。

ATT&CK Tactic Technique (TTP)

マルウェア

ファミリ数

Discovery(探索) T1083:File and Directory Discovery(ファイルとディレクトリの探索) 10
Command and Control(コマンド・コントロール) T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル: Webプロトコル) 9
Initial Access(初期アクセス) T1133:External Remote Services (外部リモートサービス) 8
Execution(実行) T1059.004:Command and Scripting Interpreter: Unix Shell(コマンド・スクリプトインタプリタ: Unixシェル) 7
Impact(影響) T1498.001:Network Denial of Service: Direct Network Flood(サービス拒否・直接フラッド攻撃)
Credential Access(認証情報アクセス) T1110.001:Brute Force Password Guessing(ブルートフォースパスワード推定) 6
Discovery(探索) T1057:Process Discovery(プロセス探索)
Execution(実行) T1106:Native API(ネイティブAPI) 5
Impact(影響) T1486:Data Encrypted for Impact(データ暗号化)
Defense Evasion(防御回避) T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除) 4
Lateral Movement(水平移動・内部活動) T1210:Exploitation of Remote Services(リモートサービス不正使用)
Persistence(永続化) T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron)

表1:実装頻度の高い上位10個のテクニック

(さらに…)

続きを読む
Tags: ランサムウェアボット型マルウェアIOTLinuxMITRE ATT&CK

Spring4Shell(CVE-2022-22965)を悪用したボットネット「Mirai」の攻撃を観測

  • 投稿日:2022年4月21日
  • 脅威カテゴリ:ボットウイルス, 脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロでは、Javaの開発環境で使用可能なフレームワークSpring Frameworkの脆弱性「Spring4Shell」(CVE-2022-22965)が悪用され、ボットネットマルウェア「Mirai」による攻撃が可能であることを確認しました。攻撃者は、Mirai本体を「/tmp」フォルダにダウンロードし、「chmod」により権限変更をした上で攻撃の実行が可能となります。

トレンドマイクロでは、このような活動を2022年4月上旬から確認していました。また、利用されるマルウェアのファイルサーバには、異なるCPUアーキテクチャ向けの別の亜種が存在することも判明しています。

本稿では、入手した検体に基づき、脆弱性悪用、検出の経緯、解析結果、修正パッチ、潜在的なリスクおよび実際の適用例などについて説明します。最後のセクションでは、これらのリスクを軽減する方法について推奨事項を記載しています。

(さらに…)

続きを読む
Tags: MiraiRCESpring4Shell

偽暗号資産サイトと正規リモート管理ツールを悪用する攻撃キャンペーン

  • 投稿日:2022年4月18日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

■ はじめに

正規のリモート操作ソフトとして有名な「TeamViewer」を悪用するマルウェア「SpyAgent」を介した攻撃キャンペーンについて、トレンドマイクロは追跡し、調査してきました。過去のSpyAgentを介した攻撃については、既に他のレポートでも言及されていますが、本ブログエントリではSpyAgentの最新攻撃手法に着目します。

(さらに…)

続きを読む
Tags: 偽暗号資産サイトサーフィン・プラグインDogecoinSpyAgent暗号資産マイナー

Asus製ルータを狙うモジュール型ボット「Cyclops Blink」の技術的機能を解説

  • 投稿日:2022年4月8日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

イギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。

(さらに…)

続きを読む
Tags: ボットネットBlackEnergyCyclops BlinkIOTNotPeyaPawn StormSandwormVPNFilter標的型サイバー攻撃

2021年に観測されたモジュール型ローダ「Buer Loader」キャンペーンの戦術や攻撃活動を解説

  • 投稿日:2022年3月17日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

本ブログ記事では2021年にトレンドマイクロが観測したモジュール型ローダ「Buer Loader」に関連する攻撃活動やキャンペーンについて概説します。詳細はトレンドマイクロの技術論文「An Analysis of Buer Loader(英語)」をご参照ください。Buer Loaderは2019年に非常に競争力のある価格でアンダーグラウンドマーケット(闇市場)に参入したことで知られており、マルウェアをサービスとして提供する「Malware as a Service(MaaS)」の一つです。現在Buer Loaderは十分にその地位を確立し、攻撃者によって積極的に利用され続けているように見えます。

(さらに…)

続きを読む
Tags: モジュール型ローダBuer LoaderMaaSMalware as a Service

情報窃取型マルウェア「BazarLoader」にて侵害されたインストーラとISOファイルの悪用を確認

  • 投稿日:2021年12月27日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロでは、情報窃取型マルウェア「BazarLoader」(トレンドマイクロ製品では「TrojanSpy.Win64.BAZARLOADER」、「TrojanSpy.Win64.BAZARLOADER」、「Backdoor.Win64.BAZARLOADER」として検出)を用いたキャンペーンの監視を続けています。情報セキュリティフォーラムは、2021年第3四半期にBazarLoaderの検出数が急増したことを報告していますが、トレンドマイクロは、攻撃者がデータの窃取やランサムウェア攻撃に悪用するために、既存の配信手法に新たな到達メカニズムを2つ追加していたことを発見しました。

そのうちの1つは、攻撃者が正規プログラムにBazarLoaderを同梱するために侵害されたソフトウェアインストーラを用いるというものです。もう1つは、Windowsショートカットファイル(.LNK)とダイナミックリンクライブラリ(.DLL)のペイロードを含むISOファイルを使用するというものです。トレンドマイクロは、BazarLoaderの最も検出数の多い地域がアメリカ大陸であることを観測しました。BazarLoaderの感染チェーンやキャンペーンに関する技術的分析や洞察については、トレンドマイクロの技術論文「BazarLoader Looking In: Analyzing the Infection Chains, Stages, and Campaigns(英語)」をご確認ください。

(さらに…)

続きを読む
Tags: ランサムウェアBazarLoaderContiRaaSRyuk

休止と再開を繰り返す「QAKBOT」の新たな攻撃手法

  • 投稿日:2021年11月29日
  • 脅威カテゴリ:不正プログラム, スパムメール
  • 執筆:Trend Micro
0

「QAKBOT(別名QBOT)」は広範囲に流行している情報窃取型マルウェアで、2007年に初めて確認されました。近年では、QAKBOTの検出が、多くの深刻なランサムウェア攻撃の前兆となっていることが確認されています。QAKBOTは、今日の多くのサイバー攻撃活動を可能にしているビジネス「マルウェアをインストールするサービス(malware installation-as-a-service)」の主力ボットネットであることもわかっています。このような初段の侵入で使用されるボットは、数カ月月単位で活動休止する場合があることが知られています。今年1月末のテイクダウンから10カ月月振りにEMOTETが活動を再開したことは11月18日の記事でお伝えしていますが、本記事で取り上げるQAKBOTも、約3カ月の休止期間を経て、2021年9月末からスパムメール送信活動の再開が確認されました。具体的には、マルウェアスパムの配信業者である「TR」が、別のマルウェアローダーである「SquirrelWaffle」やQAKBOTへ誘導する悪質なスパムメールを送信していたことが確認されています。また、10月上旬には、同じ「TR」がIMAP(Internet Message Access Protocol)サービスにブルートフォース攻撃を実行していたと報告されており、セキュリティリサーチャーの間では、「TR」が攻撃に必要な認証情報を取得するために「ProxyLogon」(Microsoft Exchange Serverの脆弱性)を使っているのではないかという憶測も流れています。

図1: QAKBOT関連のマルウェアスパムの検出推移(2021年5月10日~10月25日)
6月下旬から9月中旬までマルウェアスパムが出回っていなかったことがわかる

(さらに…)

続きを読む
Tags: 不正マクロmalware installation-as-a-serviceQAKBOTQBOT

テイクダウンされた「EMOTET」が活動再開

  • 投稿日:2021年11月18日
  • 脅威カテゴリ:不正プログラム, メール, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

今年1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。当ブログでも2月1日の記事でお伝えしておりましたが、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバ(C&Cサーバ)などの活動再開を確認しています。

図:「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだWord文書ファイルの例

(さらに…)

続きを読む
Tags: 不正マクロEMOTET

macOS向け端末エミュレータ「iTerm2」を偽装する攻撃手口を解説

  • 投稿日:2021年10月28日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

2021年9月初め、中国のQ&Aサイト「知乎(Zhihu)」上であるユーザが、『検索エンジンで「iTerm2」というキーワードを検索した結果、正規サイト「iterm2.com」を偽装した「item2.net」という偽サイトに繋がった』と報告したことを確認しました(図1)。この偽サイト内に記載されているリンクからは、macOS向け端末エミュレータ「iTerm2」の偽バージョンがダウンロードされます。この偽アプリが起動されると、47[.]75[.]123[.]111から悪意のあるPythonスクリプト「g.py」をダウンロード・実行して、感染端末から個人情報を収集します。トレンドマイクロ製品ではiTerm2の偽バージョンを「TrojanSpy.MacOS.ZURU.A」として、悪意のあるスクリプトを「TrojanSpy.Python.ZURU.A」として検出します。

図1:偽サイト「iterm2.net」
図1:偽サイト「iterm2.net」

(さらに…)

続きを読む
Tags: 偽アプリ偽サイトCobalt Strike

正規ソフトの偽インストーラを利用した攻撃活動の手口を解説

  • 投稿日:2021年10月22日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

サイバーセキュリティにおいて、「ユーザ」つまりシステムを利用する人間が最も脆弱な存在として、攻撃者に認識されていることは広く知られています。これはユーザが、攻撃における典型的な侵入経路として、ソーシャルエンジニアリング手法の対象となることを意味しています。法人組織もまた、ユーザを起点とするセキュリティ上の弱点に悩まされています。時に従業員はインターネット上の脅威に気付いていないことや、サイバーセキュリティのベストプラクティスに精通していないことがありますが、攻撃者はこれらのセキュリティ上の弱点を悪用する方法を熟知しています。

攻撃者がユーザを騙す方法の1つとして、未認証のアプリやインストーラを餌としてユーザの興味を引き、それらをインストールさせた後に悪意のあるペイロードを送り込むというものがあります。近年トレンドマイクロは、攻撃者がこれらの偽インストーラを利用して、同梱させたマルウェアを感染PC端末上に配信する手口を確認しています。これらの偽インストーラを利用した攻撃手口は目新しいものではなく、ユーザを騙して悪意のあるドキュメントを開かせたり、不要なアプリをインストールさせたりする手口は古くから広く用いられています。ユーザの中には、有料アプリの無料版やクラック版(不正に改変されたアプリ)をインターネット上で検索した際に、この罠にかかってしまう人もいます。

(さらに…)

続きを読む
Tags: 偽インストーラ
Page 1 of 10412 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.