セキュリティリサーチャのJohn Page氏は、2019年4月中旬、Microsoft Internet Explorer(IE)において、XML External Entityインジェクションが可能になるゼロデイ脆弱性について公開しました。攻撃者がこの脆弱性を利用した場合、機密情報の漏えいや対象PCからローカルファイルが窃取されるなどの被害に遭う可能性があります。これに関して、Page氏はWindows 7、Windows 10、そしてWindows Server 2012 R2に最新の修正プログラムを適用した状態で「IE 11」の最新バージョンでこの脆弱性を検証しました。トレンドマイクロは、この脆弱性がどのように機能し、そこから生じ得る脅威をどのようにして軽減することができるかについてより深く理解するため、この攻撃の流れについて調査しました。
(さらに…)
フィッシングは、その有効性からサイバー犯罪における定番の手口となっています。フィッシング攻撃の基本的な仕組みは単純なもので、正規を装ったメールやWebサイトを利用し、疑いを持たないユーザにファイルをダウンロードさせるか、またはリンクをクリックさせるように誘導するというものです。しかし、サイバー犯罪者の戦略はますます巧妙化しています。トレンドマイクロは、特徴的な手口を利用したフィッシングページを探す中、検出回避のための隠ぺい手法として正規ブラウザ拡張機能「SingleFile」を利用するフィッシング攻撃を確認しました。
続きを読むトレンドマイクロは2018年8月上旬、Internet Query (IQY) ファイルを不正利用するマルウェアスパムの増加を確認し、8月8日のブログ記事にて速報いたしました。またその後の調査により、このマルウェアスパムが日本のみを標的としていたこと、そしてその活動内容が今年6月に検出されたリモートアクセスツール「FlawedAmmyy RAT」を送り込むマルウェア「NECURS」を拡散するスパムメール送信活動と類似していることを確認しました。サイバー犯罪者は構造ベースの検出方法を回避するため、一般的に単純なプレーンテキストの形式をとるIQY ファイルを利用しているように見受けられます。
今回の調査で、ボットネット「CUTWAIL 」から送信されるスパムメールにIQYファイルを悪用する手口が確認されました。このスパムメール送信活動は、特に日本のユーザを対象としており、「BEBLOH」(「TSPY_BEBLOH.YMNPV」として検出)あるいはURSNIF(TSPY_URSNIF.TIBAIDO)のいずれかのマルウェアを拡散しています。スパムメールは、「支払い」、「写真送付の件」、「写真添付」、または「ご確認ください」など、従来のソーシャルエンジニアリングの手法を利用して、ユーザが添付ファイルをクリックするように誘導します。このキャンペーン活動は2018年8月6日に検出され、同年8月9日には下火となりましたが、この期間内で約50万件のスパムメールの拡散が確認されました。
図1:2018年8月6日から10日に検出されたスパムメールの量
(さらに…) 続きを読む
これまでに世界各国ですでに多数の組織が被害に遭っている「ビジネスメール詐欺」ですが、昨年末には国内で高額な被害事例が報道されるなど、日本国内でもその認知が広がりつつあります。このビジネスメール詐欺では、社内プロセスやセキュリティ対策が十分に実施されている大手企業や自社はサイバー攻撃には狙われないだろうと安心している中小企業まで、企業規模を問わずあらゆる組織が標的となっています。
そのため、法人組織では、ビジネスメール詐欺の攻撃に対する理解を深め、その被害に遭わないようセキュリティ対策を検討していく必要があります。トレンドマイクロでは、ビジネスメール詐欺で使用されたメールを調査し、その攻撃手口の傾向を分析したレポート「ビジネスメール詐欺の犯罪手口を暴く」を公開しました。
続きを読むトレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
「REDBALDKNIGHT(別名:BRONZE BUTLER、Tick)」は、主に日本の法人を対象として諜報活動を実行するサイバー攻撃集団です。標的には、バイオテクノロジー企業、電子機器製造企業、工業化学企業、および政府関連機関が含まれます。REDBALDKNIGHT の攻撃キャンペーンでは、バックドア型マルウェア「DASERFDASERF(別名:Muirim、Nioupale)」(「BKDR_DASERF」として検出)が利用されています。この DASERF は主に下記のような4つの機能を備えています。
- シェルコマンドの実行
- 情報のダウンロード/アップロード
- スクリーンショットの取得
- キー入力情報の記録
サイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム(OS)に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。
今回解説する「ADWIND(アドウィンド)(「JAVA_ADWIND」ファミリとして検出。別名:jRAT)」は、そのようなクロスプラットフォームの「Remote Access Tool(RAT)」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。
続きを読む「PowerShell」 は Microsoft が 開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。
しかし、サイバー犯罪者は Windows ショートカットファイル(「.LNK」拡張子)から PowerShell スクリプトを実行する手法を駆使し、セキュリティ管理者の対策より一歩先を行っているようです。LNK ファイルは通常デスクトップやスタートメニューのショートカットとして使用されますが、早くも 2013 年には LNK ファイルを悪用した攻撃が確認 されています。2017 年初旬には、最終的に暗号化型ランサムウェア「Locky」をダウンロードするトロイの木馬型マルウェアがLNKファイルを偽装するために二重に ZIP 圧縮したファイルを利用していたことを確認しています。
続きを読む
