「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革が推進される中、これらの変化を悪用する多くのオンライン攻撃や脅威が被害を拡大させています。同様に、ビジネスメール詐欺(Business Email Compromise、BEC)は、被害者の数を減少させているにもかかわらず、依然として法人組織に最も大きな金銭的損失をもたらすサイバー犯罪の1つとして確認されています。トレンドマイクロは、BECの脅威動向を継続的に監視するなかで、2021年1~9月にかけて検出数が増加していることを観測しました(図1)。
-1024x745.png)
トレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。
続きを読む2019年、トレンドマイクロは、コロンビアを拠点として、南米諸国の企業に対してメール攻撃を展開していると思われる攻撃者についてブログ記事を公開しました。この攻撃者は「APT-C-36」、或いは「Blind Eagle」と呼ばれることもあります。本ブログ記事では、トレンドマイクロがAPT-C-36の動向の追跡中に確認したメール攻撃に関する新たな調査結果を共有します。
図1:APT-C-36によるコロンビア政府税関当局を偽装した攻撃メール例
続きを読むトレンドマイクロは、サイバー諜報活動集団「Confucius」を追跡調査する中で、スパイウェア「Pegasus」の名前を誘導手口に利用する新たな標的型攻撃(スピアフィッシング)キャンペーンを発見しました。このキャンペーンでは、ファイルスティーラをダウンロードさせるために悪意のあるドキュメントを開くようメール受信者を誘導する手口が確認されています。国際人権NGO「Amnesty International」などの共同調査により、イスラエル企業「NSO Group」が開発したスパイウェアPegasusは、11カ国の高官を標的とするために使用されていることが明らかとなりました。
本ブログ記事では、新たな標的型攻撃キャンペーンで用いられた複数の誘導手口および使用されたファイルスティーラの解析結果をご紹介します。
続きを読む先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。
図1:DarkSideを装った攻撃者が送信した脅迫メールの一例
続きを読むこの数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
