検索:
ホーム   »   不正プログラム   »   ボットウイルス

IaCツールを悪用して拡散するLinuxのボット型マルウェアのキャンペーンを解説
  • 投稿日:2021年7月8日
  • 脅威カテゴリ:不正プログラム, ボットウイルス, クラウド
  • 執筆:Trend Micro
0

Linuxを標的とする脅威の増加は、「Windows以外のOSはマルウェアに感染しにくい」といった俗説を覆しました。Linuxが攻撃者に狙われるようになると、Ngrokのようなローカル環境で実行しているアプリケーションを外部公開するサービスを悪用したり、競合する別のマルウェアを強制停止させる機能を利用したりと、脅威が高度化していく様子が見られるようになりました。

本記事では、Linuxシステムを標的とする攻撃者の間で新たに採用されている手口について解説します。今回トレンドマイクロでは、Infrastructure as Code(IaC)ツールを悪用する手口を特定しました。これはマルウェアの拡散にIaCツールの悪用が確認された初のケースと言えます。また今回解説する手口の中には、Socks5プロトコルを使用したプロキシ経由のネットワークを介したTor(The Onion Router)の使用、正規DevOpsツールの悪用、アーキテクチャに応じた後続のマルウェア検体のダウンロード、競合する暗号資産採掘ツール(コインマイナー)の削除や無効化のほか、マルウェア検出や解析を回避する機能が含まれます。

(さらに…)

続きを読む
Tags: ボット型マルウェアクラウドcloudIaCツールLinuxTorプロキシ

P2Pを利用するIoTボットネットの脅威動向を予測
  • 投稿日:2021年6月15日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

モノのインターネット(IoT)は、ボットネット開発を試みるサイバー犯罪者の新たな攻撃領域となっています。サイバー犯罪者はボット型マルウェアによる永続的な感染活動にユーザが対処する間も、ボットネットの維持・拡大のためにデバイスの制御権を奪い合っています。しかし、IoT機器で構成されたボットネットに多くのユーザが利用するファイル共有技術「P2P(Peer-to-Peer)」ネットワークが加わると問題はさらに複雑化します。

(さらに…)

続きを読む
Tags: IOTP2P

ルータやNASに感染するIoTボット「VPNFilter」の流行から2年、その現状と課題を解説
  • 投稿日:2021年5月11日
  • 脅威カテゴリ:ボットウイルス
  • 執筆:Trend Micro
0

トレンドマイクロでは常に現在の脅威に対する監視と調査を続けています。この活動の中で2021年初頭から既知のマルウェアファミリによるIoT機器への感染事例について再調査したところ、これまでに報告されたIoTマルウェアの中でも最も大きなファミリの一つであり、2018年に猛威を振るったIoTボット「VPNFilter」が感染している事例を複数発見しました。ただしこのVPNFilterに関しては2018年5月にFBIが中心となって遠隔操作サーバ(C&Cサーバ)をテイクダウンしたことが発表されており、一般には既に危険な存在ではないものと考えられています。なぜ、そのVPNFilterが2021年の現在も生き残っているのでしょうか?本記事では調査の詳細と得られた知見について解説します。

図1:VPNFilterが実行する第一段階の各フェーズにおける不正活動の流れ(Cisco-Talosのレポートに基づく)
図1:VPNFilterが実行する第一段階の各フェーズにおける不正活動の流れ
(Cisco Talosのレポートに基づく)

(さらに…)

続きを読む
Tags: ボットネットIOTVPNFilter

「露出したDockerサーバ」を狙い、不正マイニングとDDoSの踏み台に悪用する攻撃が続発
  • 投稿日:2020年11月2日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

攻撃者は、実行中のDockerコンテナ環境を狙い続けています。トレンドマイクロは最近、「Alpine Linux」をベースイメージとして使用して構築されたDockerコンテナで、不正な暗号資産発掘ツールと分散型サービス拒否(DDoS)ボットネットの両方を作成する攻撃を確認しました。トレンドマイクロでも2020年5月に同様の攻撃を調査しましたが、その際にも攻撃者は不正なAlpine Linuxコンテナを作成して、不正な暗号資産発掘ツールとDDoSボットをホストしていました。以下の図は、この攻撃における感染の流れを表しています。

図1:感染の流れ-1024x820
図1:感染の流れ

(さらに…)

続きを読む
Tags: ボットネットCVE-2017-5638CVE-2019-3396DDoS攻撃DockerIRC

「BIG-IP」の脆弱性「CVE-2020-5902」を利用するIoTマルウェアを確認
  • 投稿日:2020年9月18日
  • 脅威カテゴリ:不正プログラム, ボットウイルス, 脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2020年7月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット(IoT)を対象とするボット「Mirai」のダウンローダ(Trend Microでは「Trojan.SH.MIRAI.BOI」として検出)を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の1つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。 (さらに…)

続きを読む
Tags: IoT機器Mirai

Docker デーモンのオープンポートを狙うマルウェア、目的はボット感染とマイニング
  • 投稿日:2020年7月16日
  • 脅威カテゴリ:不正プログラム, ボットウイルス
  • 執筆:Trend Micro
0

設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産(仮想通貨)を発掘する不正コインマイナーと、分散型サービス拒否(DDoS)攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。

図1:シェルスクリプト「mxutzh.sh」

(さらに…)

続きを読む
Tags: マイニングDocker

QAKBOTが活発化、VBS利用による拡散を確認
  • 投稿日:2020年6月25日
  • 脅威カテゴリ:メール, ボットウイルス
  • 執筆:Trend Micro
0

多くの脅威は外部からの電子メールとして侵入する傾向が、MDR(Managed Detection and Response)を通じて明らかになっています。脅威の侵入のための攻撃メールには通常、フィッシングサイトへのリンク、有害な添付ファイル、そして本文には受信者を騙して操ろうとする指示の内容が含まれていることがあります。しかしトレンドマイクロがメールのメタデータを毎日調査する中で、受信のメールボックスからではなく、ユーザ自身の送信済みアイテムフォルダから脅威が検出されることもよくあります。これは、自身のメールアカウントが乗っ取られたことにユーザが気づいておらず、攻撃者によるメール送信の踏み台にされた可能性を示唆します。そのような事例の一つとして、ある侵害されたメールが、「QAKBOT」を拡散するメールに関係していることを確認しました。 (さらに…)

続きを読む
Tags: QAKBOTVBS

偽のZoomインストーラに隠されたバックドアとボットネット「Devil Shadow」
  • 投稿日:2020年6月23日
  • 脅威カテゴリ:ボットウイルス
  • 執筆:Trend Micro
0

サイバー犯罪者は、新型コロナウイルスの流行がもたらした「新しい常識」を攻撃に利用しています。具体的な手法の1つとして、テレワークや在宅勤務に欠かせないものとなった人気のアプリケーションやソフトウェアを偽装したり、悪用したりすることによってユーザの端末をマルウェアに感染させる手口があります。トレンドマイクロは、マルウェアのコードを含む、Zoomインストーラを偽装する2つのファイルを発見しました。これらの偽インストーラは、当然、Zoomの公式サイトで配布されたものではありません。偽インストーラのうち1つは、サイバー犯罪者がリモートで不正活動を実行するためのバックドア型マルウェアを感染コンピュータへインストールし、もう1つは、「Devil Shadow(デビルシャドウ)」と呼ばれるボットをインストールします。

図1:偽インストーラは、正規のZoomインストーラと比較してファイルサイズが大きい

(さらに…)

続きを読む
Tags: Zoom

IoTデバイスなど51万超の認証情報をハッカーが暴露
  • 投稿日:2020年2月3日
  • 脅威カテゴリ:対策技術, ボットウイルス
  • 執筆:Trend Micro
0

あるハッカーが、515,000以上に及ぶサーバ、ルータ、およびIoTデバイスの認証情報のリストを、人気のあるハッキングフォーラム上で公開しました。ZDNetによれば、公開されたリストはデバイスのIPアドレスと、Telnetサービスの認証に使用されるアカウント名とパスワードで構成されていました。Telnetは、これらのデバイスの遠隔操作を可能にするプロトコルです。

(さらに…)

続きを読む
Tags: ボットネット認証情報IOT

IoTデバイスやルータを侵害しDDoS攻撃を仕掛けるボットネット「Momentum」
  • 投稿日:2019年12月27日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、2019年、Linuxを狙うさまざまな攻撃を確認してきました。そうした中、このプラットフォームのデバイスを狙う注目すべき不正活動を確認しました。入手した検体を解析したところ、この不正活動は、ボットネット「Momentum」に関連していることが判明しました。Momentumという名称は、このボットネットが使用している通信チャンネルで確認された画像に由来しています。今回の解析では、デバイスへの感染や分散型サービス拒否(DDoS)攻撃に際してこのボットネットが使用しているツールや手法について新たな詳細を確認しました。

(さらに…)

続きを読む
Tags: ボットネットC&CサーバDDoS攻撃Momentum
Page 1 of 912 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.