Facebook Messenger を利用して拡散する新しい仮想通貨発掘マルウェア「DIGMINE(ディグマイン)」が韓国で初めて確認され、ベトナム、アゼルバイジャン、ウクライナ、フィリピン、タイ、ベネズエラのような国に拡散しています。Facebook Messenger を利用する拡散手法を考慮すると、DIGMINE がその他の国に到達するのもそう遠くないと予想されます。トレンドマイクロは、この事例に関連した最近の韓国の報告書で紹介されている「비트코인 채굴기(ビットコイン採掘器)bot」という通称から、このマルウェアを DIGMINE と名付けました。
続きを読む中東のさまざまな業界に標的型サイバー攻撃を仕掛ける攻撃者集団「APT-C-23(別名:Two-tailed Scorpion)」に関するリサーチャの報告が 2017 年の初めに公開されました。その後、この攻撃者集団が利用する Android 端末向け不正アプリ「VAMP(ヴァンプ)」が確認されました。さらに 2017 年 10 月には新しい亜種「FrozenCell(フローズンセル)」(「ANDROIDOS_STEALERC32」として検出)も確認されています。
VAMP は、画像、テキストメッセージ、連絡先、通話履歴のようなさまざまな情報を携帯電話から窃取します。確認された数十のコマンド&コントロール(C&C)サーバはすぐに無効となり、検体は検出対応されました。
2017 年 12 月、トレンドマイクロは VAMP の新しい亜種と考えられる不正アプリのファミリ「GNATSPY(ナットスパイ)」(「ANDROIDOS_GNATSPY」として検出)を確認しました。GNATSPY が VAMP の C&C サーバのいくつかを再利用していることから、これらの不正アプリの間に関連があることが分かります。つまり、APT-C-23 は、不正アプリを改良しながら依然として活動を続けているということです。
続きを読むトレンドマイクロは、これまで ATMマルウェアについて継続的に調査および解析をしており、2017年9月に欧州警察組織「Europol」と共同でリサーチペーパーを公開しました。今回報告する「PRILEX(プリレックス)」および「CUTLET MAKER(カツレツメーカー)」は、10月に新しく報告された ATMマルウェアです。この最新の ATMマルウェアについて、トレンドマイクロの解析に基づいて詳細を報告します。
続きを読む「Patchwork(別名:Dropping Elephant)」は、外交機関や政府機関、企業等を標的とするサイバー諜報活動集団です。Patchwork という名称は、自身の活動のために既製のツールやマルウェアを修正して利用することに由来しています。ゼロデイ脆弱性を利用し対象に合わせて戦術を調整するその他の集団とは異なり、利用する手法は目新しいものではないかもしれません。しかし、さまざまな感染経路やマルウェアを駆使する Patchwork の攻撃は確かな脅威となっています。
トレンドマイクロは、2017 年に確認された Patchwork の活動を追跡しました。彼らが利用するソーシャルエンジニアリングの手法、攻撃手順、バックドア型マルウェアはそれぞれ多岐にわたります。他にも、「Dynamic Data Exchange(動的データ交換、DDE)」と「Windows Script Component(SCT)」の悪用や、新しく報告された脆弱性の利用も確認されるようになってきました。このような状況から、Patchwork は自身の目的に合わせて再利用するために、その他の脅威や脆弱性に注意を払っていることがうかがえます。また、より慎重かつ効果的に活動しようとしている点も注目に値します。
続きを読むトレンドマイクロが 2017 年 7 月に発見および報告した Linux のシステム管理機構である「systemd」の DNS リゾルバ機能における脆弱性「CVE-2017-15908」は、影響を受ける多くの Linux ディストリビューションに対して「Denial of Service(DoS、サービス拒否)攻撃」を可能とします。攻撃者が管理する DNS サーバに systemd が DNS 問合せを送信すると、サーバは特別に細工したパケットを返信します。このパケットを受信すると、systemd が無限ループに陥り、CPU 使用率が 100% になります。
続きを読む特に企業のサーバやPCが、たとえスタンドバイ状態やシャットダウン状態であっても、攻撃を受ける可能性のある脆弱性が確認されました。2017 年 11 月 20 日、Intel は、同社の「Management Engine(マネジメント・エンジン、ME)」で確認されたいくつかの脆弱性に関するセキュリティ情報を公開しました。Intel ME はコンピュータのマザーボードに搭載されたシステムであり、コンピュータの OS が動いていない状態でも常にバックグラウンドで動作しています。このセキュリティ情報の中で、「Common Vulnerabilities Scoring System(共通脆弱性評価システム、CVSS)」のスコアが 6.7(中程度)から 8.2(高)にわたる、ME、Trusted Execution Engine(TXE)および Server Platform Services(SPS)で確認された複数の脆弱性に対して更新プログラムが公開されています。影響を受ける ME のバージョンは 8.X~11.X です。
しかし、2017 年 5 月 1 日には、特に企業の PC とネットワークにさらに大きな影響を与える可能性のある権限昇格に関する脆弱性「CVE-2017-5689」が公開されています。この脆弱性を狙う攻撃には特定の要因と発生条件の両方または一方が必要であるものの、成功した場合、攻撃者は管理者権限によるアクセスや遠隔からの再起動、シャットダウン等が可能になります。この「CVE-2017-5689」を今回 11 月 20 日に公開された様々な脆弱性と組み合わせて利用することにより、攻撃の可能性が高まることになります。
続きを読む