ホーム » 不正プログラム » ボットウイルス

「露出したDockerサーバ」を狙い、不正マイニングとDDoSの踏み台に悪用する攻撃が続発

投稿日:2020年11月2日
脅威カテゴリ:ボットウイルス, 攻撃手法
執筆:Trend Micro

攻撃者は、実行中のDockerコンテナ環境を狙い続けています。トレンドマイクロは最近、「Alpine Linux」をベースイメージとして使用して構築されたDockerコンテナで、不正な暗号資産発掘ツールと分散型サービス拒否（DDoS）ボットネットの両方を作成する攻撃を確認しました。トレンドマイクロでも２０２０年5月に同様の攻撃を調査しましたが、その際にも攻撃者は不正なAlpine Linuxコンテナを作成して、不正な暗号資産発掘ツールとDDoSボットをホストしていました。以下の図は、この攻撃における感染の流れを表しています。

(さらに…)

「BIG-IP」の脆弱性「CVE-2020-5902」を利用するIoTマルウェアを確認

２０２０年７月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット（IoT）を対象とするボット「Mirai」のダウンローダ（Trend Microでは「Trojan.SH.MIRAI.BOI」として検出）を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の１つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。 (さらに…)

Docker デーモンのオープンポートを狙うマルウェア、目的はボット感染とマイニング

設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産（仮想通貨）を発掘する不正コインマイナーと、分散型サービス拒否（DDoS）攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。

(さらに…)

QAKBOTが活発化、VBS利用による拡散を確認

投稿日:2020年6月25日
脅威カテゴリ:メール, ボットウイルス
執筆:Trend Micro

多くの脅威は外部からの電子メールとして侵入する傾向が、MDR（Managed Detection and Response）を通じて明らかになっています。脅威の侵入のための攻撃メールには通常、フィッシングサイトへのリンク、有害な添付ファイル、そして本文には受信者を騙して操ろうとする指示の内容が含まれていることがあります。しかしトレンドマイクロがメールのメタデータを毎日調査する中で、受信のメールボックスからではなく、ユーザ自身の送信済みアイテムフォルダから脅威が検出されることもよくあります。これは、自身のメールアカウントが乗っ取られたことにユーザが気づいておらず、攻撃者によるメール送信の踏み台にされた可能性を示唆します。そのような事例の一つとして、ある侵害されたメールが、「QAKBOT」を拡散するメールに関係していることを確認しました。 (さらに…)

偽のZoomインストーラに隠されたバックドアとボットネット「Devil Shadow」

投稿日:2020年6月23日
脅威カテゴリ:ボットウイルス
執筆:Trend Micro

サイバー犯罪者は、新型コロナウイルスの流行がもたらした「新しい常識」を攻撃に利用しています。具体的な手法の１つとして、テレワークや在宅勤務に欠かせないものとなった人気のアプリケーションやソフトウェアを偽装したり、悪用したりすることによってユーザの端末をマルウェアに感染させる手口があります。トレンドマイクロは、マルウェアのコードを含む、Zoomインストーラを偽装する2つのファイルを発見しました。これらの偽インストーラは、当然、Zoomの公式サイトで配布されたものではありません。偽インストーラのうち1つは、サイバー犯罪者がリモートで不正活動を実行するためのバックドア型マルウェアを感染コンピュータへインストールし、もう１つは、「Devil Shadow（デビルシャドウ）」と呼ばれるボットをインストールします。

図1：偽インストーラは、正規のZoomインストーラと比較してファイルサイズが大きい

(さらに…)

IoTデバイスなど51万超の認証情報をハッカーが暴露

投稿日:2020年2月3日
脅威カテゴリ:対策技術, ボットウイルス
執筆:Trend Micro

あるハッカーが、515,000以上に及ぶサーバ、ルータ、およびIoTデバイスの認証情報のリストを、人気のあるハッキングフォーラム上で公開しました。ZDNetによれば、公開されたリストはデバイスのIPアドレスと、Telnetサービスの認証に使用されるアカウント名とパスワードで構成されていました。Telnetは、これらのデバイスの遠隔操作を可能にするプロトコルです。

(さらに…)

IoTデバイスやルータを侵害しDDoS攻撃を仕掛けるボットネット「Momentum」

投稿日:2019年12月27日
脅威カテゴリ:ボットウイルス, 攻撃手法
執筆:Trend Micro

トレンドマイクロは、2019年、Linuxを狙うさまざまな攻撃を確認してきました。そうした中、このプラットフォームのデバイスを狙う注目すべき不正活動を確認しました。入手した検体を解析したところ、この不正活動は、ボットネット「Momentum」に関連していることが判明しました。Momentumという名称は、このボットネットが使用している通信チャンネルで確認された画像に由来しています。今回の解析では、デバイスへの感染や分散型サービス拒否（DDoS）攻撃に際してこのボットネットが使用しているツールや手法について新たな詳細を確認しました。

(さらに…)

標的型攻撃手法解説：「APT33」によるC&C追跡困難化

投稿日:2019年11月19日
脅威カテゴリ:ボットウイルス, 攻撃手法
執筆:Trend Micro

標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者（以下簡略化のためAPT33とします）について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand＆Control（C＆C）サーバを攻撃に利用していることを確認しました。これはC＆Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。

(さらに…)

「ファイルレス」と「モジュール化」を採用した新たなボット型マルウェア「Novter」、感染経路は不正広告

トレンドマイクロは、ファイルレスで拡散する新しいボット型マルウェアを確認し、「Novter（ノブター）」と名付けました。「Nodersok」および「Divergent」という名称でも報告されているこのマルウェアは、サイバー犯罪集団「KovCoreG（コブコアジー）」の活動の下で2019年3月頃より拡散されてきました。弊社は、Novterの登場以来、積極的にその監視を続ける中で、頻繁な更新を確認しています。
(さらに…)

複数の脆弱性を利用してルータやデバイスを狙うボット型マルウェアの新亜種を確認

2019年7月22日から2019年8月6日の間、トレンドマイクロが設置したハニーポットから注目すべき3つのボット型マルウェア「Neko」、「Mirai」、「Bashlite」の新しい亜種を確認しました。2019年7月22日に、Nekoの検体を確認して解析を開始し、翌週の2019年7月29日には利用する脆弱性が追加された亜種を確認しました。また、2019年7月30日にMiraiの亜種「Asher」、さらに翌週の2019年8月6日にはBashliteの亜種「Ayedz」が確認されました。これらのマルウェアに感染したルータは、分散型サービス拒否（Distributed Denial of Service, DDoS）攻撃を実行するボットネットの一部として機能します。
(さらに…)

Page 1 of 812 › »