パスワードや暗号通貨の情報など、機密データを収集する機能を備えた「LokiBot(ロキボット)」の開発者は、このマルウェアにさらに資金を投じ更新を加えているようです。過去、トレンドマイクロは、リモートコード実行の脆弱性を突きWindows Installerを実行してLokiBotを配信する攻撃や、ISOイメージファイルを利用して配信されるLokibotの亜種、ステガノグラフィを利用し活動を持続化させる仕組みを更新した亜種を確認してきました。そして今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー(Game Launcher)」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、C#コードのファイルをドロップしてコンパイルする手法も使用されていました。この珍しいLokiBotの亜種は、配信後にコンパイルして検出を回避する手法を利用していましたが、トレンドマイクロの機械学習型検索によって「Troj.Win32.TRX.XXPE50FFF034」として予測検出されました。現在は、「Trojan.Win32.LOKI」ファミリとして検出対応しています。
続きを読む感染端末の近隣にある無線LAN(Wi-Fiネットワーク)に侵入して拡散する「EMOTET(エモテット)」の新しい亜種が確認されました。この拡散手法は、通常スパムメールによって拡散するこれまでのEMOTETの典型から外れています。ただし、EMOTETはこれまでも、その時々に活動を変化させてきた過去があります。EMOTETは、2014年、「TrojanSpy.Win32.EMOTET.THIBEAI」としてトレンドマイクロのリサーチャによって初めて確認されました。当初は、感染コンピュータから個人情報を窃取する「バンキングトロジャン(オンライン銀行詐欺ツール)」でした。EMOTETはこれまで、新型コロナウイルス(2019-nCoV)のような注目のニュースや感謝祭などのイベントに便乗したスパムメールを利用して拡散してきました。EMOTETの感染によって、独フランクフルトのITネットワークがシャットダウンを余儀なくされた事例も報告されています。最近では、話題のニュース記事のテキストを使用して検出回避を図るEMOTETも見つかっています。そして今回、確認されたEMOTETの亜種は、WindowsのwlanAPIインターフェイスの機能を使い、感染端末から近隣のWi-Fiネットワークへ拡散します。
続きを読むマルウェア検出の技術は進歩していますが、その検出を回避しようとするサイバー犯罪者側の動きも、様々なものが見られています。現在では多くのセキュリティベンダーが取り入れている、機械学習型検出では、不正コードの特徴などマルウェア特有の共通点を学習し、不審なプログラムファイルを警告します。これに対しサイバー犯罪者は、正規ファイルの情報をマルウェア内に取り込むことにより、特徴を変化させて検出を回避しようとする試みを行うことがあります。この機械学習型検出に対する回避の試みの例として、米ドナルド・トランプ大統領のニュースを利用したとみられるマルウェアが相次いで確認されました。
トレンドマイクロは、「モノのインターネット(Internet of Things、IoT)」デバイスに感染するマルウェア「Mirai」の亜種2つを確認しました。 「SORA」(検出名「IoT.Linux.MIRAI.DLEU」)と「UNSTABLE」(検出名「IoT.Linux.MIRAI.DLEV」)と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。
続きを読む長期にわたって活動を継続しているマルウェアは、時間と共にその活動内容を変化させていく傾向にあります。2013年前後に登場したAndroid向けバンキングトロジャン「FakeToken(フェイクトークン)」もその1つです。2017年に確認されたFakeTokenは、タクシー配車アプリを偽装し、感染端末から個人を特定できる情報(PII)を窃取する機能に加え、ランサムウェア機能まで持っていました。そして2020年に入り、カスペルスキーのリサーチャは、約5,000台のスマートフォンがSMSで海外へ迷惑メッセージを送信していたことを検知しました。そしてそれは、FakeTokenの新しい機能によるものであることが確認されました。
続きを読む標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者(以下簡略化のためAPT33とします)について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand&Control(C&C)サーバを攻撃に利用していることを確認しました。これはC&Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。
続きを読む
