トレンドマイクロは、シェルスクリプトを使用して不正な活動を行う攻撃を再び確認しました。これらのシェルスクリプトは、公開されているコンテナリポジトリ上のランダムなイメージとして作成されていました。このようなシェルスクリプトにはバックドアなどの不正要素が含まれている可能性があるため、実行することによるセキュリティ上のリスクがあることを認識する必要があります。過去の攻撃では、そのような不正なシェルスクリプトの多くはコインマイナーを展開するために使用されていました。しかし、新しいサンプルを利用した最近の事例では、シェルスクリプトがコインマイナーのダウンローダとしてではなく別の目的を果たしており、どのように開発されているかを明確にしています。トレンドマイクロでは今回の調査により判明したコマンド&コントロール(C&C)サーバのURL、文字列、暗号鍵、サンプルで使用されている言語などの特徴から、この最新の攻撃はハッキング集団「TeamTNT」によるものと推測しています。
トレンドマイクロは、台湾の政府機関、研究機関、大学など複数の組織をターゲットとする新しいキャンペーンを確認しました。2019年5月から開始していたこのキャンペーンは、台湾で広く利用されているWebメールのシステムにJavaScriptのバックドアを設置し対象組織のメールを窃取していました。過去に確認されている攻撃グループとの明確な関連性がないことから、トレンドマイクロはこれを実施した攻撃者を 「Earth Wendigo(アース ウェンディゴ)」と名付けました。標的型攻撃においては、台湾で確認された攻撃手法がその後に日本で確認されることも多く、国内利用者も注視すべき事例と言えます。
2020年に注目を多く集める攻撃となったランサムウェアの亜種「RansomExx」は、その後の調査によってこの活動が未だ有効であること、また更なる開発の兆候があることが示されています。最近の調査ではLinux環境に適応した新亜種が使用されたという事実も判明しており、Windows以外にも活動範囲を拡大していることが分かります。 (さらに…)
続きを読むトレンドマイクロでは最近、「Glupteba」の亜種(Trend Microでは「Trojan.Win32.GLUPTEBA.WLDR」として検出)を確認しました。Gluptebaは、過去にWindigo作戦に関与したバンキングトロジャンとして知られています。弊社ではまた、MikroTikルータへの攻撃や、自身のコマンド&コントロール(C&C)サーバへの更新に関して調査しました。今回確認されたバンキングトロジャンは、挙動に関して他の亜種との類似点を多く共有しています。前述の検体で特筆すべき点は、トレンドマイクロが最近解析したモジュール型アドウェアの一種「ManageX」(トレンドマイクロでは「Trojan.JS.MANAGEX.A」として検出)を使用していることです。本記事では、コード解析から判明したGluptebaのモジュール性とクロスプラットフォーム機能について解説します。
図1:攻撃の流れ (さらに…)
続きを読む本記事では、暗号資産採掘ツール(コインマイナー)によりLinux システムのリソース盗用を狙う様々なサイバー犯罪者たちによる、冷酷な「戦争」について説明します。Linuxのエコシステムは、他のオペレーティングシステムと比べて安全で信頼性が高いとされています。しかし残念ながら、Google、NASA、そして米国国防省など知名度の高い企業や組織でLinuxシステムの採用が広まるにつれ、攻撃対象としてLinuxを狙うサイバー犯罪者も多くなっています。 特に、システムのリソース盗用による暗号資産採掘(不正マイニング)による利益を狙うサイバー犯罪者にとって、Linuxは中心的な攻撃対象となってしまっているようです。本記事ではまた、オープンAPIを備えたアプリケーションとDocker環境に対応したエントリポイントの移り変わりを含む、不正マイニングの攻撃チェーンについても解説します。 (さらに…)
続きを読むマルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。
図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない (さらに…)
今回トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しました。バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。
続きを読むトレンドマイクロでは、Xcodeの開発者向けプロジェクト関連で、異常な感染を確認しました。さらに調査を進めたところ、特定の開発者のXcodeプロジェクト全体にソースマルウェアが含まれており、不正ペイロードの取得につながることが判明しました。本記事では、Mac向けマルウェア「XCSSET」に関する調査結果を要約します。この攻撃の詳細については、こちらの技術的詳細から確認可能です。トレンドマイクロでは、最初に侵入するマルウェアを「TrojanSpy.MacOS.XCSSET.A」として、そしてコマンド&コントロール(C&C)に関連するファイルを「Backdoor.MacOS.XCSSET.A」として検出しました。
図1:ソースマルウェアを含むXcodeプロジェクトのサンプルとそのコンテンツの例 (さらに…)
続きを読む
