トレンドマイクロでは、今年の7月に入ってすぐ、新しいマルウェア「ThiefQuest(別名:EvilQuest)」を確認しました。このマルウェアは、macOSデバイスを狙って、ファイルを暗号化し、影響を受けるコンピュータ内にキーロガーをインストールします。ThiefQuestは、一般的なファイル共有のためのトレントサイト上で共有されていた海賊版のmacOSから発見されています。このマルウェアの動向は、ウイルス対策ソフトを提供する「MalwareBytes」、コンピュータヘルプサイト「BleepingComputer」、およびセキュリティリサーチャであるDinesh Devadoss氏、Phil Stokes氏、Patrick Wardle氏、そしてThomas Reed氏によっても調査されています。また、Objective-See社も最新のマルウェア詳細調査を公表しています。これらの調査では、マルウェアを利用した身代金要求が主な攻撃方法ではなく、ファイルの抽出、C&C通信、キーロギングなどのその他の関数を偽装するための先手であるとしています。この推測は、最近確認された内容でも裏付けられています。 (さらに…)
続きを読む※9月7日11時30分IoC情報更新(当初公開9月3日21時)
トレンドマイクロでは弊社を騙る不審なメールが、この9月3日前後から出回っていることを確認しました。弊社のサポートセンターからお客様へお送りするメールにファイルを添付することはありません。弊社から送付されたように見えるメールにおいてファイルの添付があった場合、添付ファイルは実行せず破棄いただきますようお願いします。
サポート情報「【注意喚起】トレンドマイクロを騙る不正プログラム添付メールについて(2020年9月3日)」 (さらに…)
続きを読むトレンドマイクロでは2020年上半期(1~6月)における国内外での脅威動向について分析を行いました。2020年、新型コロナウイルスのパンデミック(世界的大流行)によって、世界に大きな変化がもたらされることは、誰も予想していなかったことでしょう。コロナ禍が及ぼした大きな影響は、実世界においてもサイバー世界においても「新たな日常」となりました。サイバー犯罪者はこの状況を利用し、メール、ソーシャルメディア、不正サイト、偽アプリなど、幅広いプラットフォームでさまざまな手口を駆使した攻撃を次々に展開しました。特にこの上半期の期間、国内におけるフィッシング詐欺は過去最大規模となりました。これは多くの利用者において、ネットワークアクセスに費やす時間が長くなっていることなども影響しているものと考えられます。
トレンドマイクロでは最近、2種のLinux向けボット型マルウェアにおいて、露出したDockerサーバを狙う活動を確認しました。確認されたマルウェアは分散型サービス妨害(DDoS 、Distributed Denial of Service)の実行を目的とした「XORDDoS」(トレンドマイクロでは「Backdoor.Linux.XORDDOS.AE」として検出)と「Kaiji」(トレンドマイクロでは「DDoS.Linux.KAIJI.A」として検出)です。 (さらに…)
続きを読むGoogle Chromeの拡張機能が、ユーザのアクティビティ履歴の追跡と個人情報の窃取を目的とした不正活動で使用されていたことが、セキュリティ企業「Awake」によって報告されました。この不正活動のコマンドアンドコントロール(C&C)のインフラとして、正規レジストラで取得したドメインを使用している不正なChrome拡張機能111個が3カ月間で確認されました。2020年5月初旬の調査時点で、これらの不正な拡張機能は約3,300万件ダウンロードされていました。トレンドマイクロでも同様の手法を使う攻撃のレポートを2020年5月に報告しておりましたが、不正なブラウザの拡張機能の利用と攻撃のためのインフラについて共通点がありましたので紹介します。 (さらに…)
続きを読むトレンドマイクロは、サイバー攻撃グループ「Earth Empusa(別名POISON CARPあるいはEvil Eye)」の追跡調査中、新しいAndroid端末向け不正アプリ(スパイウェア)「ActionSpy」(「AndroidOS_ActionSpy.HRX」として検出)を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。 (さらに…)
続きを読むランサムウェアを使用するサイバー犯罪者が、その手口を変化させています。データを暗号化して復号キーと引き換えに身代金を要求するだけではなく、情報の窃取と暴露も伴うようになりました。重要なファイルにアクセスできなくなっても身代金を払わない企業に対し、社内情報を一般に公開するという脅し文句が加わりました。ランサムウェア「Nefilim」、「Sodinokibi/REvil」、「DoppelPaymer」、「Maze」などの背後にいるサイバー犯罪者が、この「暗号化」と「暴露」の二重の脅迫手法を採用しました。一部のサイバー犯罪者は、ランサムウェア攻撃の情報窃取と脅迫のプロセスを容易にする目的で、ツールとインフラストラクチャを共有する協力関係を結んでいると考えられています。 (さらに…)
続きを読む「Tropic Trooper」は、2011年から活動しているとされるサイバー攻撃グループです。これまでに、台湾、フィリピン、香港における政府および軍事機関、ヘルスケア、輸送、ハイテク産業を攻撃対象にしてきたものと推測されています。トレンドマイクロではこのグループの活動として、2015年に脆弱性を利用するファイルを添付した標的型メール(スピアフィッシングメール)の攻撃を、また2018年にはツールに新機能を追加するなどの攻撃手法の変化を報告してまいりました。そして最近確認されたTropic Trooperの攻撃活動では、USBストレージ経由で台湾およびフィリピンの軍事機関のエアギャップ環境、つまり他のネットワークから物理的に隔離されている閉域ネットワークへの侵入を狙う活動を把握しました。また同時に、政府機関、軍事病院、さらに国立銀行を標的とした攻撃も確認できました。この攻撃でTropic Trooperは、特定の標的環境において自身の活動を隠蔽しつつさまざまなコマンドを実行し、USBストレージから重要な情報を窃取するマルウェア「USBferry」を活用します。ちなみにUSBferryの名称は、調査の際に入手されたサンプルの名前からとられています。トレンドマイクロの調査では、おとりとなる偽の実行ファイルとUSBferryを利用して情報を収集する活動を確認しています。
図1:USBferry攻撃のシナリオ例
続きを読む