検索:
ホーム   »   感染媒体   »   メール

ランサムウェア「Nokoyawa」と「Hive」の顕著な類似点を解説

  • 投稿日:2022年5月17日
  • 脅威カテゴリ:メール, ランサムウェア
  • 執筆:Trend Micro
0

2021年に出現したランサムウェアファミリの中でも特に注目に値する「Hive」は、わずか4ヶ月間で300社以上の法人組織を侵害したと報告されており、同年下半期に波紋を広げました。これによりHiveの背後にいる攻撃者グループは、数百万米ドル(数億円)の利益を得た可能性があります。トレンドマイクロはその後、2022年3月にほとんど未知のランサムウェア「Nokoyawa」の攻撃手法が、Hiveと多くの共通点を持つことを発見しました。この2つのファミリは、使用するツールから様々な段階での実行順序に至るまで、攻撃チェーンにおける明らかな類似点を共有しています。現在Nokoyawaは南米の、主にアルゼンチンに拠点を置く組織を標的にしていると考えられます。

(さらに…)

続きを読む
Tags: ランサムウェアフィッシングコインマイナーCobalt StrikeHiveMIMIKATZNokoyawaPowerShellRaaS正規ツール

「EMOTET」の新手口:ショートカットリンクに注意

  • 投稿日:2022年5月6日
  • 脅威カテゴリ:メール, スパムメール, 速報, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

マルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。

図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている

(さらに…)

続きを読む
Tags: 不正マクロマルウェアスパムEMOTET

注意!「EMOTET」被害が拡大中

  • 投稿日:2022年3月8日
  • 脅威カテゴリ:メール, スパムメール, 速報, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

2021年1月に一旦テイクダウンされたものの、2021年11月から活動を再開したマルウェア「EMOTET」が、その後、日本国内でも被害が拡大する状況となっています。トレンドマイクロの観測では2022年2月の日本国内における総検出台数は18,785件となっており、「最恐ウイルス」とも呼ばれていたテイクダウン前の状況に戻ったと言えます。本ブログでもテイクダウン時及び活動再開時に取り上げてまいりましたが、改めて活動再開後のEMOTETの動向について報告いたします。

図1:日本国内におけるEMOTET検出台数推移(トレンドマイクロSPNによる)

(さらに…)

続きを読む
Tags: 不正マクロランサムウェアEMOTET日本語の攻撃メール

16進表記 / 8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口を解説

  • 投稿日:2022年1月31日
  • 脅威カテゴリ:メール, スパムメール, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、16進表記 / 8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測しました。どちらのキャンペーンもソーシャルエンジニアリングの手法を用いており、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させます。一連の処理を受け取ったオペレーティングシステム(OS)は、自動的にそれらの値をドット付き10進表記に変換し、外部サーバからの要求を実行します。個人ユーザおよび法人組織は、Emotetからダウンロードされる「TrickBot」や「Cobalt Strike」などの第二段階で配信されるマルウェアを侵入させないためにも、スパムメール / 不正コンテンツの検出機能やブロック機能、および関連する対策機能を有効化してキャンペーンに警戒する必要があります。

(さらに…)

続きを読む
Tags: 不正マクロEMOTET

「Earth Tengshe」によるマルウェア「SigLoader」を用いた攻撃キャンペーンで観測された新たなペイロード

  • 投稿日:2021年12月24日
  • 脅威カテゴリ:メール, 脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロでは2020年以降に日本国内の組織を対象としたAPT・標的型攻撃を複数観測し、その攻撃者グループを「Earth Tengshe」と命名しました。この一連の攻撃は、日本を狙う標的型攻撃「A41APT」キャンペーンとして報告されている攻撃活動の一部とみられ、「SigLoader(DESLoader)」や「SodaMaster(DelfsCake)」、「P8RAT(GreetCake)」などのマルウェアが悪用されることで知られています。トレンドマイクロが2021年4月以降に確認した当該キャンペーンの攻撃では、SigLoaderから最終的に実行されるペイロードとして、以前の報告時点からバージョンアップされたSodaMasterや、新たに確認された「Jackpot」というマルウェアが用いられたことを確認しています。Earth Tengsheは現在も日本を含めた地域において、活発に攻撃を行っていると考えられます。

図1:「A41APT」キャンペーンと攻撃者グループ「APT10」および「Earth Tengshe」の関連図

(さらに…)

続きを読む
Tags: APT10Earth TengsheJackpotP8RATSigLoaderSodaMasterTropic Trooper

電子メールサービスの特性を悪用する様々なビジネスメール詐欺の手口を解説

  • 投稿日:2021年11月22日
  • 脅威カテゴリ:メール, 攻撃手法
  • 執筆:Trend Micro
0

「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革が推進される中、これらの変化を悪用する多くのオンライン攻撃や脅威が被害を拡大させています。同様に、ビジネスメール詐欺(Business Email Compromise、BEC)は、被害者の数を減少させているにもかかわらず、依然として法人組織に最も大きな金銭的損失をもたらすサイバー犯罪の1つとして確認されています。トレンドマイクロは、BECの脅威動向を継続的に監視するなかで、2021年1~9月にかけて検出数が増加していることを観測しました(図1)。

図1:2021年1~9月に検出されたビジネスメール詐欺増加率の推移(グローバル)
図1:2021年1~9月に検出されたビジネスメール詐欺増加率の推移(グローバル)
トレンドマイクロのクラウド型セキュリティ技術基盤
「Smart Protection Network(SPN)」のデータに基づく

(さらに…)

続きを読む
Tags: ビジネスメール詐欺CEO詐欺

テイクダウンされた「EMOTET」が活動再開

  • 投稿日:2021年11月18日
  • 脅威カテゴリ:不正プログラム, メール, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

今年1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。当ブログでも2月1日の記事でお伝えしておりましたが、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバ(C&Cサーバ)などの活動再開を確認しています。

図:「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだWord文書ファイルの例

(さらに…)

続きを読む
Tags: 不正マクロEMOTET

「クリプターサービス」で大量のRATを送り付ける攻撃キャンペーン「Water Basilisk」

  • 投稿日:2021年10月8日
  • 脅威カテゴリ:不正プログラム, メール, フィッシング, サイバー攻撃, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。

(さらに…)

続きを読む
Tags: ファイルレス攻撃クリプターサービスHCryptWater Basilisk

サイバー攻撃グループ「APT-C-36」による南米諸国へのメール攻撃を解説

  • 投稿日:2021年10月6日
  • 脅威カテゴリ:メール, フィッシング, サイバー攻撃
  • 執筆:Trend Micro
0

2019年、トレンドマイクロは、コロンビアを拠点として、南米諸国の企業に対してメール攻撃を展開していると思われる攻撃者についてブログ記事を公開しました。この攻撃者は「APT-C-36」、或いは「Blind Eagle」と呼ばれることもあります。本ブログ記事では、トレンドマイクロがAPT-C-36の動向の追跡中に確認したメール攻撃に関する新たな調査結果を共有します。

A delivery email impersonating Colombia’s national directorate of taxes and customs

図1:APT-C-36によるコロンビア政府税関当局を偽装した攻撃メール例

(さらに…)

続きを読む
Tags: APT-C-36Blind Eagle詐欺メール浮気の証拠写真

YouTuberを狙う詐欺が出現、手口を解説

  • 投稿日:2021年9月28日
  • 脅威カテゴリ:メール, フィッシング, 攻撃手法
  • 執筆:Trend Micro
0

個人のアカウント情報を窃取するフィッシング攻撃が流行する中、YouTuberを標的とした詐欺活動を確認しました。この詐欺活動の目的は、YouTuberのアカウントの認証情報を窃取することです。今回は、このYouTuberを狙う詐欺活動について解説します。

図:YouTuberを狙う詐欺が出現、手口を解説

(さらに…)

続きを読む
Tags: フィッシングソーシャルエンジニアリングYouTube
Page 1 of 2012 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.