検索:
ホーム   »   Archives for 10月 2018

Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

  • 投稿日:2018年10月25日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

Windows の 2 つの正規コマンドラインツール「WMIC(wmic.exe)」および「CertUtil(certutil.exe)」を悪用し、感染 PC に不正なファイルをダウンロードするマルウェアが確認されました。WMIC はWindows の管理を担当し、CertUtil はマクロおよび証明書サービス関連の機能を担う正規ツールです。これらの正規ツールは、通常の機能の一部としてファイルのダウンロードに使用されるため、不正活動においても検出回避を目的としてよく利用されます。

WMIC および CertUtil は、以前からマルウェアによって悪用されてきました。今回の攻撃ではそれらが同時に利用され、さらに検出回避のための挙動が加わっています。

■感染の流れ

図 1 は今回確認された攻撃の感染の流れです。不正なリンクを含む電子メールを侵入経路とし、WMIC や CertUtil を利用して、最終的にコマンド&コントロール(C&C)サーバから不正なファイルをダウンロードします。

感染の流れ
図 1:感染の流れ

(さらに…)

続きを読む
Tags: CertutilWMIC

Java Usage Tracker の脆弱性「CVE-2018-3211」を発見、Windows 環境で検証

  • 投稿日:2018年10月19日
  • 脅威カテゴリ:脆弱性
  • 執筆:Vulnerability Researcher - William Gamazo Sanchez
0

トレンドマイクロは、Java の機能「Java Usage Tracker(JUT)」を利用することで、任意のファイル作成、攻撃者が指定したパラメータの注入、および上位権限の利用が可能になる脆弱性「CVE-2018-3211」を発見し、Windows 環境で検証しました。これらの活動を組み合わせることで、通常はその他のアプリケーションやユーザによるアクセスが制限されているリソースへのアクセスが可能になります。影響を受ける Java のバージョンは、「Java SE:8u182 および 11」と「Java SE Embedded: 8u181」です。

(さらに…)

続きを読む
Tags: CVE-2018-3211Java

乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認

  • 投稿日:2018年10月12日
  • 脅威カテゴリ:フィッシング
  • 執筆:Trend Micro Cyber Safety Solutions Team
0

通常、フィッシング攻撃では、本物に見える偽メールを利用し、添付した不正ファイルやテキストに埋め込んだ不正リンクを通してユーザの情報を窃取します。このような単純な手口を知っているユーザであれば気付くのは比較的容易です。しかし、2018 年 9 月のスパムメール送信活動では、より巧妙で気づかれにくい形の不正メールが確認されました。この攻撃では、乗っ取ったメールアカウントが利用され、既存スレッドに返信する形でマルウェアが添付された不正メールが送信されました。この不正メールは、進行中の会話の一部となっているため、気付くことがより困難です。ユーザは、手遅れになるまでサイバー攻撃を受けていることに気付くことができないかもしれません。

この攻撃は、2018年前半に Talos によって確認された、オンライン銀行詐欺ツール(バンキングトロジャン)「URSNIF(アースニフ)、別名:GOZI」を拡散するスパムメール送信活動とよく似ています。このスパムメール送信活動では、ボットネット「Dark Cloud」の一部となった乗っ取られた PC が利用され、既存のスレッドに対する返信として不正メールが送信されました。本記事で解説する攻撃は、もしかするとこの活動が継続または変化したものだと考えられます。

2018 年 10 月 9 日までに収集した情報によると、この攻撃活動は主に北米と欧州に影響を与えていますが、アジアおよび中南米地域でも類似した攻撃が確認されています。また、対象は教育、金融および電力業界のユーザが大半であるものの、不動産、運輸、製造業界、および政府系組織にも影響を与えています。

(さらに…)

続きを読む
Tags: URSNIF

「アダルトサイト経由のハッキング」で脅す詐欺メール、12日間で250万円を詐取か

  • 投稿日:2018年10月3日
  • 脅威カテゴリ:スパムメール, サイバー犯罪
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロでは日本語による悪質な詐欺メールの拡散を、9月中旬から継続して確認しています。詐欺メールの本文は複数種ありますが、いずれも「あなたがアダルトサイトへのアクセス時に録画されたビデオを周囲に流布されたくなければ金銭を支払え」という旨の内容であり、不正ファイルの添付や不正サイトへの誘導はない、純然たる詐欺目的のメールとなっています。このメール内容からは、悪質なサイバー犯罪の1つである「Sextortion(セクストーション、性的脅迫)」の手口が思い浮かびます。しかし、これまで確認されてきたセクストーションは出会い系サイト上などで狙われた個人を騙して脅迫する手法なのに対し、この詐欺メールは送信規模などから考えて不特定多数に対するばらまき型の攻撃と考えられます。つまり、セクストーションにおいて手間と時間がかかる行為を省き、メールのみで受信者を脅して金銭を支払わせようとする「簡略版セクストーション」とも呼べる詐欺手口となっています。

9月20日に送信された詐欺メールの例
図:9月20日に送信された詐欺メールの例

(さらに…)

続きを読む
Tags: セクストーション(性的脅迫)サイバー脅迫Eメール詐欺

VBScript エンジンのメモリ解放後使用脆弱性「CVE-2018-8373」を利用する新しい攻撃を確認

  • 投稿日:2018年10月3日
  • 脅威カテゴリ:サイバー攻撃, 脆弱性
  • 執筆:Trend Micro
0

トレンドマイクロは、2018 年 9 月 18 日、本ブログで 8 月 29 日に解説したメモリ解放後使用(Use After Free、UAF)の脆弱性「CVE-2018-8373」を利用する別の攻撃を確認しました。CVE-2018-8373 は、比較的新しいバージョンの Windows に搭載された Internet Explorer(IE)の VBScript エンジンに影響を与えます。Microsoft はすでに、2018 年 8 月の月例セキュリティ更新プログラムにおいて、CVE-2018-8373 を修正しているため、この脆弱性攻撃は、更新済みの IE に対して無効です。影響を受けるバージョンの詳細はこちらを参照してください。

(さらに…)

続きを読む
Tags: CVE-2018-8373IEUse After FreeVBScript

ボットネットによる拡散機能を備えた暗号化型ランサムウェア「Viro」を確認

  • 投稿日:2018年10月2日
  • 脅威カテゴリ:不正プログラム, ボットウイルス
  • 執筆:Trend Micro
0

トレンドマイクロは、ランサムウェアによる攻撃が 2017 年には高止まりとなり、時間の経過と共にその手口や標的が多様化していくことを予測していました。2018 年前半にはランサムウェアの活動は急減していますが、より巧妙な手口を利用して身代金を要求する攻撃が確認されています。その格好の例が、2018 年 9 月に確認されたボットネットを構築する暗号化型ランサムウェア「Viro」(「RANSOM_VIBOROT.THIAHAH」として検出)です。Viro は、ランサムウェアとボットネットの両方の機能を備えており、米国のユーザに影響を与えました。PC に感染すると、スパムメールによって自身を拡散するボットネットの一部となります。Viro と既知のランサムウェアファミリとの関連は確認されていません。Viro が初めて確認された 2018 年 9 月 17 日は、弊社が、悪名高い暗号化型ランサムウェア「Locky」を模倣したランサムウェアの亜種を解析したちょうど 7 日後のことでした。

(さらに…)

続きを読む
Tags: Viro暗号化型ランサムウェア

「Locky」を模倣した新種の暗号化型ランサムウェア「PyLocky」について解説

  • 投稿日:2018年10月1日
  • 脅威カテゴリ:新種ウイルス
  • 執筆:Trend Micro
0

今日の脅威状況において、暗号化型ランサムウェアの活動は前年2017年と比べ顕著な停滞状態にあるとはいえ、現在もサイバー犯罪者の主要な手口の一つとして利用されています。実際、2018年上半期内では、わずかに活動の増加を見せ、セキュリティ対策製品を回避するための微調整により、その活動を維持しています。今回取り上げる「 PYLOCKY(パイロッキー) 」(「 RANSOM_PYLOCKY.A 」として検出)に関しては、すでに確立されたランサムウェアファミリを模倣し、それらの悪評に便乗し活動しています。

トレンドマイクロは7月下旬から8月全体を通して、暗号化型ランサムウェア「PyLocky」を拡散するスパムメールの活動の波を確認しました。このランサムウェアは、身代金要求文書において「Locky」になりすましていますが、「PyLocky」と「Locky」の相互の関係性はありません。

(さらに…)

続きを読む
Tags: ランサムウェア、暗号化型ランサムウェアスパムメールソーシャルエンジニアリングLockyPyLocky


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.