2021年に出現したランサムウェアファミリの中でも特に注目に値する「Hive」は、わずか4ヶ月間で300社以上の法人組織を侵害したと報告されており、同年下半期に波紋を広げました。これによりHiveの背後にいる攻撃者グループは、数百万米ドル(数億円)の利益を得た可能性があります。トレンドマイクロはその後、2022年3月にほとんど未知のランサムウェア「Nokoyawa」の攻撃手法が、Hiveと多くの共通点を持つことを発見しました。この2つのファミリは、使用するツールから様々な段階での実行順序に至るまで、攻撃チェーンにおける明らかな類似点を共有しています。現在Nokoyawaは南米の、主にアルゼンチンに拠点を置く組織を標的にしていると考えられます。
続きを読むマルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。
図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている
トレンドマイクロは、16進表記 / 8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測しました。どちらのキャンペーンもソーシャルエンジニアリングの手法を用いており、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させます。一連の処理を受け取ったオペレーティングシステム(OS)は、自動的にそれらの値をドット付き10進表記に変換し、外部サーバからの要求を実行します。個人ユーザおよび法人組織は、Emotetからダウンロードされる「TrickBot」や「Cobalt Strike」などの第二段階で配信されるマルウェアを侵入させないためにも、スパムメール / 不正コンテンツの検出機能やブロック機能、および関連する対策機能を有効化してキャンペーンに警戒する必要があります。
続きを読むトレンドマイクロでは2020年以降に日本国内の組織を対象としたAPT・標的型攻撃を複数観測し、その攻撃者グループを「Earth Tengshe」と命名しました。この一連の攻撃は、日本を狙う標的型攻撃「A41APT」キャンペーンとして報告されている攻撃活動の一部とみられ、「SigLoader(DESLoader)」や「SodaMaster(DelfsCake)」、「P8RAT(GreetCake)」などのマルウェアが悪用されることで知られています。トレンドマイクロが2021年4月以降に確認した当該キャンペーンの攻撃では、SigLoaderから最終的に実行されるペイロードとして、以前の報告時点からバージョンアップされたSodaMasterや、新たに確認された「Jackpot」というマルウェアが用いられたことを確認しています。Earth Tengsheは現在も日本を含めた地域において、活発に攻撃を行っていると考えられます。
「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革が推進される中、これらの変化を悪用する多くのオンライン攻撃や脅威が被害を拡大させています。同様に、ビジネスメール詐欺(Business Email Compromise、BEC)は、被害者の数を減少させているにもかかわらず、依然として法人組織に最も大きな金銭的損失をもたらすサイバー犯罪の1つとして確認されています。トレンドマイクロは、BECの脅威動向を継続的に監視するなかで、2021年1~9月にかけて検出数が増加していることを観測しました(図1)。
トレンドマイクロのクラウド型セキュリティ技術基盤
「Smart Protection Network(SPN)」のデータに基づく
トレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。
続きを読む2019年、トレンドマイクロは、コロンビアを拠点として、南米諸国の企業に対してメール攻撃を展開していると思われる攻撃者についてブログ記事を公開しました。この攻撃者は「APT-C-36」、或いは「Blind Eagle」と呼ばれることもあります。本ブログ記事では、トレンドマイクロがAPT-C-36の動向の追跡中に確認したメール攻撃に関する新たな調査結果を共有します。
図1:APT-C-36によるコロンビア政府税関当局を偽装した攻撃メール例
続きを読む
