検索:
ホーム   »   攻撃手法

脆弱性攻撃ツール「PurpleFox EK」、Webプロキシ自動検出機能「WPAD」を悪用
  • 投稿日:2021年8月3日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Vulnerability Researcher - William Gamazo Sanchez
0

本ブログでは2020年11月19日の記事で、脆弱性攻撃ツール「PurpleFox Exploit Kit(PurpleFox EK)」を使用する攻撃者がCloudflare社の正規サービスを悪用してHTTPS経由でランディングページを拡散することで、セキュリティソリューションによる検知を回避していることをお伝えしました。PurpleFoxの背後にいる攻撃者は最新のセキュリティアップデートで一般公開された脆弱性を攻撃手口に取り入れてPurpleFoxの攻撃チェーンを高度化させてきましたが、今回トレンドマイクロでは、近年確認されたPurpleFoxが拡散手法を高めるために古い手法を追加していることを発見しました。本記事で解説するPurpleFox EKは、「wpad」ドメインを使ってWebプロキシの自動検出機能である「WPAD」(Web Proxy Auto-Discovery)を悪用する攻撃手法により、ユーザの利用端末を誘導します。このようなWPAD機能を悪用する手法は約14年前から確認されており、この攻撃を防ぐための取り組みも行われていますが、いまだに有効な攻撃手法である場合があります。WPAD機能ではWebプロキシの設定を任意の場所に設置された設定ファイルから取得します。今回の事例でPurpleFoxは「wpad.id」ドメインに不正な設定ファイルを設置し、取得させる手口を使っていました。「.id」はインドネシアの国別トップレベルドメインであることから、インドネシアの利用者が被害に遭う可能性が高かったものと言えます。トレンドマイクロは、この「wpad.id」ドメインにアクセスした被害者の検出状況を確認するために調査を開始しました。当該調査時点では、他の国のトップレベルドメインにおける影響被害は確認されませんでした。攻撃者はこの手法を用いることで、システム起動時にユーザによる入力情報がなくてもWPAD機能を悪用して設定したURLにアクセスさせることができるため、ゼロクリック攻撃の実装が可能になります。

図1:Purple-Fox-EKの攻撃チェーン
図1:Purple Fox EKの攻撃チェーン

(さらに…)

続きを読む
Tags: 脆弱性攻撃ツールPurpleFoxWPAD

2021年登場のランサムウェア「Hello」、SharePoint脆弱性からWebシェル使用の手口を解説
  • 投稿日:2021年7月19日
  • 脅威カテゴリ:不正プログラム, 脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2021年1月、トレンドマイクロは暗号化したファイルに拡張子「HELLO」を付加する新種のランサムウェアを発見しました。この新たなランサムウェアファミリは、「HELLO RANSOMWARE」(別名:「WICKRME」)と呼ばれ、別名はサイバー犯罪者との連絡に使用されたチャットアプリケーション「WickrMe」から命名されました。Helloランサムウェアのこれまでの亜種は .heming や .strike などの拡張子を付加することが確認されていますが、サイバー犯罪者が使用するWickrMeのユーザ名は含まれていませんでした。.Helloの拡張子がついた新しいバージョンの身代金要求文書(図2)には、WickrMeの連絡先が記載されるようになりました。このランサムウェア攻撃の侵入経路としては、Microsoft SharePoint serverの脆弱性(CVE-2019-0604)を利用する攻撃が考えられます。

図1:以前の身代金要求文書(ランサムノート)WickrMeの連絡先や明確な要求金額が記載されていない
図1:以前の身代金要求文書(ランサムノート)
WickrMeの連絡先や明確な要求金額が記載されていない

(さらに…)

続きを読む
Tags: ランサムウェアChina ChopperCVE-2019-0604HelloWebシェル

クラウドサービスを狙うサイバー犯罪者集団「TeamTNT」が認証情報窃取対象を拡大
  • 投稿日:2021年6月30日
  • 脅威カテゴリ:攻撃手法
  • 執筆:Trend Micro
0

自組織で利用するクラウドサービスの悪用やソフトウェアサプライチェーン攻撃を防ぐには、組織内で管理する認証情報を適切に保護することが重要です。攻撃者はストレージメカニズム内の認証情報を狙う、あるいは侵害されたシステム内で見つかった認証情報を詐取することがよくあります。また、ユーザによるやり取り無しにアクセス可能な平文形式で保存された認証情報はDevOpsソフトウェアでは珍しくなく、暗号化されていないこれらの情報が漏えいした場合、企業の情報にアクセスされる可能性があるため大きなセキュリティリスクとなります。

攻撃者は被害者のシステム内に侵入すると、クラウドサービスプロバイダ(CSP)の認証情報を詐取することで知られています。例えばサイバー犯罪者集団「TeamTNT」はクラウド上のコンテナを標的としており、クラウドの認証情報を窃取する機能を拡張する、あるいは別のクラウド環境を探索し侵入活動を行うことが確認されています。今回トレンドマイクロは、TeamTNTが被害者のシステム内に侵入した後に被害組織が利用する様々なクラウドサービスやネットワーク内のオンプレミス環境などの認証情報を窃取するための機能をさらに拡張している新たな証拠を発見しました。本ブログでは、TeamTNTの攻撃手口および拡張された機能について解説します。

図1:認証情報を詐取するためにTeamTNTが用いる攻撃手口
図1:認証情報を詐取するためにTeamTNTが用いる攻撃手口

(さらに…)

続きを読む
Tags: クラウドTeamTNT

海賊版ソフト配布サイトから不正プログラムが拡散される手口を解説
  • 投稿日:2021年6月29日
  • 脅威カテゴリ:不正プログラム, Webからの脅威, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、情報窃取型マルウェア「CopperStealer」やアドウェア「LNKR」を含む複数の不正プログラムへ連鎖して感染させる海賊版ソフトウェア配布サイトを多数調査しました。これらの検体は通常、ペイ・パー・インストール(Pay Per Install, PPI:インストールごとに費用が支払われるモデル)のアフィリエイトネットワークを介して頒布されます。トレンドマイクロの解析では、弊社が発見したCopperStealerの検体は感染端末の表示言語が中国語に設定されていたり、サンドボックス内で実行あるいはデバッガ内で解析されたりするとすべての不正活動を終了する解析困難化の活動を持っていました。また、このCopperStealerを起点とする攻撃では、以下のような不正活動が感染環境で行われるものとわかりました:

・特定のWebブラウザに保存されたGoogleアカウントや各種SNSなどの認証情報やCookieを取得する

・悪意のあるブラウザ拡張機能をインストールする

・利用者のソーシャルメディア上での情報を取得する

・ブラウザ上から入力された内容を詐取する

・表示されたWebページに広告を注入する

・広告のIDを改変し、広告収入を横取りする

図1:感染の流れ
図1:感染の流れ

(さらに…)

続きを読む
Tags: リダイレクト連鎖アドウェアCopper StealerLNKR感染連鎖

P2Pを利用するIoTボットネットの脅威動向を予測
  • 投稿日:2021年6月15日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

モノのインターネット(IoT)は、ボットネット開発を試みるサイバー犯罪者の新たな攻撃領域となっています。サイバー犯罪者はボット型マルウェアによる永続的な感染活動にユーザが対処する間も、ボットネットの維持・拡大のためにデバイスの制御権を奪い合っています。しかし、IoT機器で構成されたボットネットに多くのユーザが利用するファイル共有技術「P2P(Peer-to-Peer)」ネットワークが加わると問題はさらに複雑化します。

(さらに…)

続きを読む
Tags: IOTP2P

有料定期購読に無断で申し込むAndroid向け不正アプリ「Joker」の攻撃手口を解説
  • 投稿日:2021年6月14日
  • 脅威カテゴリ:モバイル, 攻撃手法
  • 執筆:Trend Micro
0

Joker(別名:Bread)は、Android端末を継続的に狙う最も古くから存在するマルウェアファミリの1つです。Jokerが登場した2017年から2020年初頭にかけて、Googleは1,700個以上の感染アプリをPlay storeから削除しています。またJokerを背後で操る攻撃者は2020年後半に、セキュリティ企業「Zscaler」社が発見したような検体をGoogle Play ストアに追加でアップロードしていたことがわかっています。

トレンドマイクロが実施した以前の調査では、GitHubを利用してペイロードを隠蔽するJokerの亜種を発見しました。このときに変更されたマルウェア内のコードは回避技術として機能します。攻撃者はGitHubやリポジトリを悪用することで、Googleが不正アプリの取り締まりを一貫して実施しているにもかかわらず、Jokerの新たな亜種をGoogle Play ストアに忍び込ませることに成功しています。

これらの不正アプリは以前の検体と類似していることから、単独の攻撃活動だけでなく攻撃キャンペーン全体の一部としても利用されているとトレンドマイクロは推測しています。

図1:Jokerに関連する新たな不正アプリの一部
図1:Jokerに関連する新たな不正アプリの一部

(さらに…)

続きを読む
Tags: Android端末向け不正アプリGoogle PlayJoker

仮想環境をも侵害するLinux版「DARKSIDE」ランサムウェア
  • 投稿日:2021年6月10日
  • 脅威カテゴリ:サイバー攻撃, 攻撃手法
  • 執筆:Trend Micro
0

2021年5月に米国の石油パイプライン大手Colonial Pipeline社を操業停止に追い込んだランサムウェア「DARKSIDE」は、前回の記事で解説したように、米国、フランス、ベルギー、カナダなどの地域で、製造業、金融業、基幹インフラの企業などを標的にしています。またWindowsおよびLinux双方のプラットフォームも標的としています。この記事では、Linux版「DARKSIDE」ランサムウェアの動作を解説します。Linux版では特に、VMware ESXIサーバ上の仮想マシン関連ファイルを標的とし、事前に組み込まれた環境設定により仮想マシン(VM)を強制終了する点や、感染端末上のファイルを暗号化した後、窃取したシステム情報をリモートサーバに送信する挙動などをもっています。DARKSIDE自体は既に活動停止状態と考えられていますが、WindowsだけでなくLinux環境にも感染する、仮想環境をも攻撃対象とするなどの活動は、攻撃を受けた組織の被害を一層拡大させる可能性があり、他のランサムウェアでも行われる可能性が高いものであることに留意してください。

Windows版およびLinux版のDARKSIDEランサムウェアの動作の違いをまとめると、以下のとおりとなります。

Windowsバージョン Linuxバージョン
暗号化の仕組み RSA-1024によるSalsa20 RSA-4096によるChaCha20
暗号化ブロック Salsa20のマトリックスがカスタムとなり「RtlRandomExW」でランダムに生成される ChaCha20の初期ブロックは標準的なものであり、定数文字列「expand 32-byte k」で構築される
環境設定 暗号化される 暗号化されない
VMを強制終了するか しない する
暗号化の標的となるファイル 設定に記載されているファイル、フォルダ、ファイル拡張子を除く、システム上のすべてのファイル VMware ESXIサーバ上のVM関連ファイル(環境設定に記載されている特定のファイル拡張子を持つもの)
新たに追加される拡張子 感染端末のHWIDを「.4731c768」としてCRC32を数回適用して生成する 埋め込み設定により「.darkside」としてハードコード化されているか、実行パラメータで付与される
脅迫状のファイル名 README.という設定でハードコード 化された部分と、前述の生成されたIDで構成される。例えば「README. 4731c768.TXT」 埋め込み設定により「darkside_readme.txt」としてハードコード化されているか、実行パラメータで付与される

表1:WindowsおよびLinuxにおけるDARKSIDEの比較

(さらに…)

続きを読む
Tags: DARKSIDE

Mac向けマルウェア「XCSSET」が最新のmacOS 11やM1チップ搭載端末に対応、攻撃手口を解説
  • 投稿日:2021年5月31日
  • 脅威カテゴリ:不正プログラム, 攻撃手法
  • 執筆:Trend Micro
0

2020年にトレンドマイクロは、Xcodeプロジェクトに感染してMacユーザを攻撃するマルウェア「XCSSET」を初めて発見しました。当初は単発の事例で使用されたマルウェアファミリとして報告しましたが、今回の調査結果を踏まえ、現在も攻撃活動を続けているキャンペーンに分類しました。本ブログ記事では、XCSSETが最新のmacOS11やM1チップ搭載端末を含めARM64およびx86_64の両方のMac上で動作するように適合した方法やその他の注目すべきペイロードの変更点などの新たな調査結果について詳説します。

(さらに…)

続きを読む
Tags: 偽アプリエクスプロイトMac向けマルウェアmacOSUXSS攻撃

ソフトウェアサプライチェーンのセキュリティリスクを解説
  • 投稿日:2021年5月27日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

昨年末、各方面で報じられたSolarWinds社製ネットワーク監視アプリケーション「Orion」を侵害した攻撃事例はサイバーセキュリティ業界や世間を震撼させたと同時に、サプライチェーン攻撃に対する注意を世界中で高めさせるきっかけともなりました。サプライチェーンとは「製品が作られて顧客に届くまでの一連の流れ」のことです。冒頭に例示したSolarWinds事例に当てはめた場合、「製品」とはSolarWinds社の「Orion」というソフトウェアであり、それが顧客に届くまでの一連の流れの中で侵害されたということになります。サプライチェーン攻撃の中でも、このようなソフトウェアサプライチェーンを侵害する攻撃自体は目新しいものではなく、実際この種の脅威は以前から確認されてきました。本ブログ記事では、ソフトウェアの開発プロセスを例にサプライチェーンの一連の流れについて解説すると共に、これまでに確認されたソフトウェアサプライチェーン攻撃の事例を織り交ぜながら今後発生する可能性のある攻撃について解説します。

(さらに…)

続きを読む
Tags: オンラインコーディングプラットフォームサプライチェーン攻撃DevOps

「不正注文」で国内オンラインショップサイトを侵害する攻撃キャンペーン「Water Pamola」
  • 投稿日:2021年5月24日
  • 脅威カテゴリ:フィッシング, スパムメール, サイバー犯罪, 攻撃手法
  • 執筆:Trend Micro
0

2019年以降、トレンドマイクロでは「Water Pamola」と名付けた攻撃キャンペーンを追跡してきました。この攻撃キャンペーンでは、当初、不正な添付ファイルを含むスパムメールを介し、日本、オーストラリア、ヨーロッパ諸国のオンラインショップが危険にさらされていました。しかし、2020年初頭から、Water Pamolaの攻撃活動にいくつかの変化が見られるようになりました。被害者は、主に日本国内のみとなり、トレンドマイクロによる最近のデータによると、スパムメールの代わりにオンラインショップの管理者が管理画面で顧客注文を確認する際に不正スクリプトが実行される状況が確認されるようになりました。

図1:Water Pamolaの攻撃フロー

(さらに…)

続きを読む
Tags: バックドアクロスサイトスクリプティングWater PamolaWebシェル
Page 1 of 6612 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.