トレンドマイクロでは最近、古い脆弱性を悪用し、複数の手法でLokiBotを拡散する攻撃的なマルウェア配信活動を検出しました。本ブログ記事では、一連の活動で使用された手法の中から一例を紹介し、また、ペイロードについての簡単な分析結果を解説します。弊社では、攻撃者のコマンド&コントロール(C&C)サーバのひとつでディレクトリの閲覧が可能な状態となっており、更新済みのサンプルが取得可能であることをつきとめました。
図1:ディレクトリが閲覧可能な状態のC&Cサーバ
続きを読む■ はじめに
トレンドマイクロは、サイバー諜報活動集団「Confucius」を追跡調査する中で、スパイウェア「Pegasus」の名前を誘導手口に利用する新たな標的型攻撃(スピアフィッシング)キャンペーンを発見しました。このキャンペーンでは、ファイルスティーラをダウンロードさせるために悪意のあるドキュメントを開くようメール受信者を誘導する手口が確認されています。国際人権NGO「Amnesty International」などの共同調査により、イスラエル企業「NSO Group」が開発したスパイウェアPegasusは、11カ国の高官を標的とするために使用されていることが明らかとなりました。
本ブログ記事では、新たな標的型攻撃キャンペーンで用いられた複数の誘導手口および使用されたファイルスティーラの解析結果をご紹介します。
続きを読む先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。
図1:DarkSideを装った攻撃者が送信した脅迫メールの一例
続きを読むこの数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
2021年に入り今もなお、コロナ禍の影響により個人や企業の日常業務に大きな支障が生じています。多くの組織において、業務継続のためにテレワークが不可欠なものとなると同時に、「クラウドコンピューティング」の重要度も増しています 。実際、クラウドコンピューティングへの依存度は昨年から急上昇しており 、今後も続くに違いありません。クラウドコンピューティングがデジタルトランスフォーメーション(DX)の中心となる中、攻撃者もこの状況に注目しクラウドインフラストラクチャを悪用しています。特にクラウド技術を利用する攻撃経路の中でも、クラウドのメールサービスは最もシンプルかつ最もわかりやすい存在であることから、逆に最も悪用されやすい存在ともなっています。フィッシングメール、不正スパムメール、ソーシャルエンジニアリング攻撃など、サイバー犯罪の歴史と共に洗練されてきた攻撃手法がクラウドメール経由でも猛威を振るっています。
トレンドマイクロは、台湾の政府機関、研究機関、大学など複数の組織をターゲットとする新しいキャンペーンを確認しました。2019年5月から開始していたこのキャンペーンは、台湾で広く利用されているWebメールのシステムにJavaScriptのバックドアを設置し対象組織のメールを窃取していました。過去に確認されている攻撃グループとの明確な関連性がないことから、トレンドマイクロはこれを実施した攻撃者を 「Earth Wendigo(アース ウェンディゴ)」と名付けました。標的型攻撃においては、台湾で確認された攻撃手法がその後に日本で確認されることも多く、国内利用者も注視すべき事例と言えます。
トレンドマイクロは2020年5月以降、企業の経営幹部を標的とする高度化したフィッシングキャンペーンの追跡調査を行なっています。攻撃者はWebサイトを侵害してフィッシングサイトを構築し、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的に攻撃を行なっています。弊社が調査を行った時点でこの攻撃に関連する300以上のフィッシングサイトのURLを確認し、さらに8つのフィッシングサイトからは約70の被害者のメールアドレスと盗まれたパスワード情報を発見しました。トレンドマイクロでは国際刑事警察機構(INTERPOL)に情報提供を行うと同時に、協力してさらなる調査を進めています。本記事では、本フィッシングキャンペーンの手口や背後に潜む攻撃者・開発者について調査した結果をご紹介します。
続きを読む※本記事は新型コロナウイルス(COVID-19)に便乗する脅威に関するまとめ記事です。
最終更新日:12月7日 前回更新日:4月30日 当初公開日:4月9日
また、特に日本国内で確認された便乗脅威に関しては以下のis702の記事でも最新事例を更新しておりますので参照ください。
is702:【注意喚起】新型コロナウイルスに便乗したネット詐欺などにご注意ください
新型コロナウイルス(COVID-19)の世界的な流行に便乗したサイバー犯罪者の活動に関し、前回公開の4月30日から11月11日までに確認した最新情報について、情報を更新いたしました。
続きを読む2020年3月以降、経営幹部のOffice 365アカウントの詐取を起点としたビジネスメール詐欺(BEC)が継続的に確認されています。標的型のフィッシングメール(スピアフィッシングメール)の手口を使った最近の攻撃では、米国とカナダの管理職クラスが狙われており、これまでに世界中の企業1,000社以上のアカウントが影響を受けたと考えられます。トレンドマイクロは、このサイバー犯罪者グループを「Water Nue(ウォーターヌエ)」と名付けました。Water Nueは最初に金融業界の経営幹部が持つアカウントの認証情報を狙い、フィッシングメールによって偽のOffice 365ログインページに誘導します。認証情報の詐取に成功し、経営幹部アカウントの乗っ取りに成功すると、偽の銀行情報が含まれる請求書を添付した送金指示メールを部下の従業員に送信し、金銭を騙し取ります。
図1:Water NueによるOffice 365のログイン画面を模倣したフィッシングサイトの例 (さらに…)
続きを読む
