ホーム » 感染媒体 » メール

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散

投稿日:2018年9月10日
脅威カテゴリ:メール, スパムメール
執筆:Trend Micro

トレンドマイクロは2018年8月上旬、Internet Query (IQY) ファイルを不正利用するマルウェアスパムの増加を確認し、8月8日のブログ記事にて速報いたしました。またその後の調査により、このマルウェアスパムが日本のみを標的としていたこと、そしてその活動内容が今年6月に検出されたリモートアクセスツール「FlawedAmmyy RAT」を送り込むマルウェア「NECURS」を拡散するスパムメール送信活動と類似していることを確認しました。サイバー犯罪者は構造ベースの検出方法を回避するため、一般的に単純なプレーンテキストの形式をとるIQY ファイルを利用しているように見受けられます。

今回の調査で、ボットネット「CUTWAIL 」から送信されるスパムメールにIQYファイルを悪用する手口が確認されました。このスパムメール送信活動は、特に日本のユーザを対象としており、「BEBLOH」（「TSPY_BEBLOH.YMNPV」として検出）あるいはURSNIF（TSPY_URSNIF.TIBAIDO）のいずれかのマルウェアを拡散しています。スパムメールは、「支払い」、「写真送付の件」、「写真添付」、または「ご確認ください」など、従来のソーシャルエンジニアリングの手法を利用して、ユーザが添付ファイルをクリックするように誘導します。このキャンペーン活動は2018年8月6日に検出され、同年8月9日には下火となりましたが、この期間内で約50万件のスパムメールの拡散が確認されました。

図1:2018年8月6日から10日に検出されたスパムメールの量
(さらに…)

すぐ役立つ！電子メールを利用した脅威への対策

投稿日:2018年9月4日
脅威カテゴリ:その他, メール
執筆:TrendLabs フィリピン

ソーシャルメディアやインスタントメッセージの利用率が高まる一方、電子メールは依然として企業組織にとって重要なコミュニケーションツールとして利用されています。残念なことに、電子メールの普及は、サイバー犯罪者にとっても好ましい状況となっています。本記事では、4種類の電子メールを利用する脅威：スパムメール、フィッシング、なりすまし、ビジネスメール詐欺（BEC）について解説しています。

(さらに…)

フィッシング攻撃に注意、「ビジネスメール詐欺」の攻撃手口を分析

投稿日:2018年2月20日
脅威カテゴリ:不正プログラム, メール, フィッシング, クライムウェア, スパムメール, ソーシャル, サイバー犯罪, サイバー攻撃, TrendLabs Report, Webからの脅威, 攻撃手法, 感染媒体
執筆:Trend Micro Forward-Looking Threat Research Team

これまでに世界各国ですでに多数の組織が被害に遭っている「ビジネスメール詐欺」ですが、昨年末には国内で高額な被害事例が報道されるなど、日本国内でもその認知が広がりつつあります。このビジネスメール詐欺では、社内プロセスやセキュリティ対策が十分に実施されている大手企業や自社はサイバー攻撃には狙われないだろうと安心している中小企業まで、企業規模を問わずあらゆる組織が標的となっています。

そのため、法人組織では、ビジネスメール詐欺の攻撃に対する理解を深め、その被害に遭わないようセキュリティ対策を検討していく必要があります。トレンドマイクロでは、ビジネスメール詐欺で使用されたメールを調査し、その攻撃手口の傾向を分析したレポート「ビジネスメール詐欺の犯罪手口を暴く」を公開しました。

(さらに…)

「EMOTET」の新亜種を確認。Windows APIを悪用してサンドボックス検出と解析を回避

投稿日:2017年11月27日
脅威カテゴリ:不正プログラム, メール, フィッシング, サイバー犯罪, 脆弱性, TrendLabs Report, 感染媒体
執筆:Threats Analyst - Rubio Wu

「EMOTET」の新亜種を確認。Windows APIを悪用してサンドボックス検出と解析を回避トレンドマイクロは、2017年9月の記事で、当初オンライン銀行詐欺ツール（バンキングトロジャン）であった「EMOTET（エモテット）」が、さまざまなマルウェアを拡散するマルウェアに進化して再活発化し、金融機関以外の業界や新しい地域へと攻撃を拡大した事例について報告しました。今回は、従来の挙動にさらに変更を加え、サンドボックス検出やマルウェア解析を回避するための新しいルーチンを取り入れた亜種（「TSPY_EMOTET.SMD10」として検出）について解説します。

(さらに…)

「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避

投稿日:2017年11月20日
脅威カテゴリ:メール, TrendLabs Report, 感染媒体
執筆:Trend Micro

「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避不正なマクロは、マルウェア拡散に広く利用されています。通常、スパムメール経由で送信されたファイルのマクロがユーザによって有効にされると、次に PowerShellスクリプトを実行し、ランサムウェアやその他のマルウェアがダウンロードされることになります。

トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET（エモテット）」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。

不正なマクロと PowerShell を利用する「EMOTET」の感染フロー

(さらに…)

標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用

投稿日:2017年11月14日
脅威カテゴリ:不正プログラム, メール, サイバー攻撃, 脆弱性, TrendLabs Report, 感染媒体
執筆:Trend Micro

「REDBALDKNIGHT（別名：BRONZE BUTLER、Tick）」は、主に日本の法人を対象として諜報活動を実行するサイバー攻撃集団です。標的には、バイオテクノロジー企業、電子機器製造企業、工業化学企業、および政府関連機関が含まれます。REDBALDKNIGHT の攻撃キャンペーンでは、バックドア型マルウェア「DASERFDASERF（別名：Muirim、Nioupale）」（「BKDR_DASERF」として検出）が利用されています。この DASERF は主に下記のような4つの機能を備えています。

シェルコマンドの実行
情報のダウンロード／アップロード
スクリーンショットの取得
キー入力情報の記録

(さらに…)

各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散

投稿日:2017年7月14日
脅威カテゴリ:不正プログラム, メール, モバイル, TrendLabs Report, 感染媒体
執筆:Threats Analysts - Rubio Wu and Marshall Chen

各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散

サイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム（OS）に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。

今回解説する「ADWIND（アドウィンド）（「JAVA_ADWIND」ファミリとして検出。別名：jRAT）」は、そのようなクロスプラットフォームの「Remote Access Tool（RAT）」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。

(さらに…)

LNKファイルを利用してマルウェアをダウンロードする手法が増加中

「PowerShell」は Microsoft が開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。

しかし、サイバー犯罪者は Windows ショートカットファイル（「.LNK」拡張子）から PowerShell スクリプトを実行する手法を駆使し、セキュリティ管理者の対策より一歩先を行っているようです。LNK ファイルは通常デスクトップやスタートメニューのショートカットとして使用されますが、早くも 2013 年には LNK ファイルを悪用した攻撃が確認されています。2017 年初旬には、最終的に暗号化型ランサムウェア「Locky」をダウンロードするトロイの木馬型マルウェアがLNKファイルを偽装するために二重に ZIP 圧縮したファイルを利用していたことを確認しています。

(さらに…)

「CERBER」バージョン6：ランサムウェアの変遷と今後の展開

投稿日:2017年5月24日
脅威カテゴリ:不正プログラム, メール, クライムウェア, サイバー犯罪, TrendLabs Report
執筆:Threats Analyst - Gilbert Sison

暗号化型ランサムウェア「CERBER（トレンドマイクロでは「RANSOM_CERBER」ファミリとして検出対応）」は、初めて検出報告が確認されてから 1年が経過し、いまや最も活発なランサムウェアファミリとして周知されています。「CERBER」は、2016年3月に初めてロシアのアンダーグラウンド市場で確認されて以来、ファイル構造、手法、各種機能など、サイバー犯罪者に何度も更新されており、中には「CERBER 4.1.5」など、わずか 1日で更新されたケースもありました。その勢いは、「LOCKY（「RANSOM_LOCKY」ファミリとして検出対応）」など、他のランサムウェアファミリの影が薄くなる程度に及びました。

「CERBER」は、入手しやすさの点で他の暗号化型ランサムウェアとの差別化を図りました。サイバー犯罪者は、いち早く「Ransomware as Service（サービスとしてランサムウェア、RaaS）」のビジネスモデルを導入し、購入可能なランサムウェアとしてサイバー犯罪者に周知させました。こうして CERBERの背後にいるサイバー犯罪者は、被害者が支払った身代金の分け前から利益を得ることになり、その割合は最大で身代金の 40％にも及びました。こうした努力の結果、いまや「CERBER」はサイバー犯罪の「ドル箱」となり、2016年だけで実に 20万米ドル（2017年4月18日のレートで約2,218万4,000円）を稼いだと報じられています。

こうして大きな利益をもたらし、かつカスタマイズ可能であることから、「CERBER」のさまざまなバージョンが登場したのも不思議ではありません。弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」で「CERBER」の影響範囲を確認したところ、企業および個人ユーザ双方において圧倒的に米国へ集中していました。業界別では、教育、製造、公共、テクノロジー、保健医療、エネルギー、運送などが影響を受けていることを確認しています。

(さらに…)

「Pawn Storm作戦」、巧妙なソーシャルエンジニアリング攻撃にOAuthを悪用

投稿日:2017年5月11日
脅威カテゴリ:メール, フィッシング, サイバー攻撃
執筆:Senior Threat Researcher - Feike Hacquebord

「Pawn Storm作戦」、巧妙なソーシャルエンジニアリング攻撃にOAuthを悪用

トレンドマイクロは、2014 年に初めて標的型サイバー攻撃「Pawn Storm作戦」について報告して以来、本ブログ上でこの攻撃の背後にいるサイバー犯罪集団「Pawn Storm」に関連する事例を報告してきました。Pawn Storm は 2004 年以降サイバー諜報活動を積極的に実行している集団です。この集団は標的から情報を窃取するためにさまざまな手法を用いることが確認されており、特に、認証情報を狙ったフィッシング攻撃でよく知られています。2016 年には、米国の「Democratic National Committee（民主党全国委員会、DNC）」、ドイツの政党「キリスト教民主同盟（CDU）」、トルコ政府および議会、モンテネグロ議会、「World Anti-Doping Agency（世界アンチ・ドーピング機構、WADA）」、カタールの衛星テレビ局「Al Jazeera（アルジャジーラ）」など、多くの組織に対してフィッシング攻撃が実行されました。2015 年から 2016 年にかけては、無料メールを利用する重要人物が標的となりました。

(さらに…)

Page 1 of 1712 › »