ホーム » Archives for 9月 2019

「ファイルレス」と「ルートキット」を利用するダウンローダ「Purple Fox」の検出回避手法

投稿日:2019年9月27日
脅威カテゴリ:不正プログラム, 脆弱性
執筆:Trend Micro

脆弱性攻撃ツール（エクスプロイトキット、EK）の活動は、数百万もの活動が検出された最盛期当時に比べて相当の減少傾向にあります。しかし、2019年前半には「Greenflash Sundown EK」が再登場するなど、今後もその攻撃が消滅することはないものと考えられます。そのような活動継続中のエクスプロイトキットの例として、「Rig Exploit Kit（Rig EK）」があげられます。ダウンローダ、ランサムウェア、仮想通貨発掘マルウェア、情報窃取型マルウェアなど多様なペイロードを拡散することで知られるRig EKは、侵入および拡散手法に常に調整を施され改良されています。
(さらに…)

トレンドマイクロのスレットインテリジェンス：「Graph Hash」を活用した標的型攻撃の特定

投稿日:2019年9月25日
脅威カテゴリ:対策技術
執筆:Trend Micro

脅威を積極的に探索する「スレットハンティング」、そして専門家が蓄積する脅威についての知見である「スレットインテリジェンス」の共有は、サイバーセキュリティ業界での一般的な慣行であり、多くの専門家のみならず、実際の対策のためにも役立っています。スレットインテリジェンスの中でも、マルウェア検体間の類似性調査は、あるマルウェアに関連する亜種の把握に使用されます。特に標的型攻撃の調査においては、使用されるマルウェアの類似性から複数の攻撃事例の関連性や、その攻撃の背後にいる攻撃者や攻撃目的などを導き出すための重要な情報となりえます。トレンドマイクロではマルウェアの類似性を特定する調査方法の１つとして「Graph Hash」の活用を進めています。今回、その有用性を実証するために、日本でも攻撃が確認された標的型攻撃キャンペーン「Orca」の調査にGraph Hashを適用しました。

※本記事で解説する「Graph Hash」を利用した調査の手法は、2019年8月29日にシンガポールで開催された「Hack in the Box GSEC Conference 2019」における講演「What Species of Fish Is This? Malware Classification with Graph Hash」で解説されたものです。
(さらに…)

新たに確認されたJenkinsプラグインの脆弱性、情報漏えいの恐れ

ソフトウェア開発のビルドからテスト、そしてデプロイまでを自動化するオープンソースの継続的インテグレーション（CI）ツール「Jenkins」は、DevOpsなどの開発者に広く利用されています。Jenkinsのモジュール型アーキテクチャは、基本となる機能に「プラグイン」を追加して拡張することによって最大限活用できる仕組みになっています。Jenkinsコミュニティが提供するプラグインのサイト「Plugins Index」では、本記事執筆時点で1,600以上のプラグインが公開されています。しかし、公開されているプラグインの一部は、認証情報を暗号化せず、プレーンテキスト形式で保存することが確認されています。この状態では、情報漏えいが発生した場合、この認証情報を攻撃者に不正利用され、企業の機密情報へ知らぬ間にアクセスされる可能性があります。Jenkinsでは以前にCVE-2018-1000861などの脆弱性を利用した攻撃により不正マイニングやランサムウェア感染といった被害が発生しており、速やかな対応を推奨いたします。
(さらに…)

「ポリスランサム」詐欺サイトが再登場、日本への流入に注意

トレンドマイクロでは、ネット詐欺やマルウェア拡散を狙う不正サイトの監視を行っています。その監視の中で、以前から確認している「ポリスランサム」手法による詐欺サイトが海外で活動を活発化させていることを確認しました。以前2017年に同様の詐欺サイトの活動を確認した際には日本向けのサイトも確認しており、今回も同様に日本語版の登場が予測されるため、本記事を以て注意喚起といたします。

図1：2017年に確認した日本版ポリスランサム詐欺サイトの例
上部のブラウザのURL表示や下部のWindowsタスクバーの表示はページ内の画像であり本物ではない

(さらに…)

ボットネット「MyKings」の全体像がMDRによって確認される

2019年5月、アジア太平洋地域のあるエレクトロニクス企業においてのMDR導入プロセス中に、ネットワーク監視センサー「Trend Micro™ Deep Discovery™ Inspector 」が不審な活動を確認しました。この不審な活動は、ランサムウェア「WannaCry」の攻撃で利用されていたことで有名な脆弱性攻撃ツール「EternalBlue」に関連していることが判明しました。大きな脅威につながる可能性から、トレンドマイクロは、この時点で企業に注意を促しました。
(さらに…)

遠隔操作ツール「Gh0stCringe」が人気コミュニケーションアプリを偽装したメールで拡散

人気の企業やサービスからの連絡メールを偽装して受信者を騙し、不正サイトへ誘導する攻撃は継続してその手口を変化させています。トレンドマイクロでは、人気コミュニケーションアプリの運営会社からのメールを偽装し、不正サイトへの誘導から遠隔操作ツール（RAT）である「Gh0stCringe」の亜種を感染させる攻撃を国内で確認しました。この攻撃ではRATと共に不正活動の隠蔽を行うルートキットが侵入するため、被害に遭ったことに気づけない可能性が高い攻撃になっています。

図1：Gh0stCringeを感染させる不正サイトの例

(さらに…)

チートツールに偽装しフォートナイトプレイヤーを狙うランサムウェア「Syrk」

投稿日:2019年9月5日
脅威カテゴリ:サイバー攻撃, 攻撃手法
執筆:Trend Micro

オープンソースの暗号化型ランサムウェアの亜種（トレンドマイクロでは「RANSOM.MSIL.SYRK.A」として検出）がオンラインゲーム「フォートナイト（Fortnite）」のプレイヤーへの攻撃に利用されています。フォートナイトは2019年3月の時点で2億5,000万人のプレイヤーを抱えるオンラインビデオゲームです。セキュリティ企業Cyren のリサーチャー MaharlitoAquinoとKervin Alintanahinの調査によると、ランサムウェアは、敵に照準を合わせる精度を上げ（AIMBOT）、マップ上の他のプレイヤーの位置を可視化すると謳うチートツールを装っていることがわかりました。プレイヤーがこのチートツールのファイルをダウンロードして実行すると、プレイヤーのコンピュータに保存されている画像、動画、音楽、ドキュメントなどが、「Syrk（サーク）」と呼ばれるランサムウェアによって暗号化されます。

図1：「Syrk」の脅迫状

(さらに…)

法人システムを狙う「脅迫」と「盗用」、2019年上半期の脅威動向を分析

トレンドマイクロでは2019年上半期（１～6月）における国内外での脅威動向について分析を行いました。2019年に入り、法人組織を脅迫するランサムウェア被害が継続的に発生し、更なる深刻化の傾向すら見せています。またそれらの被害の原因として、標的型攻撃の手法を使用した攻撃の存在が明らかになってきました。

図1：国内法人からのランサムウェア関連問い合わせ件数推移

(さらに…)

フォトアプリやゲームアプリを装うアドウェアをGoogle Playで確認、800万回以上ダウンロード

今日のモバイルプラットフォームは、ユーザにとって場所や時間を問わず手軽に利用可能なものとなっています。ネット詐欺師やサイバー犯罪者が目を付けて、収益のために利用しようと考えるのは想定可能な成り行きです。例えば、無害を装うアドウェアをユーザにインストールさせることで、広告収益を上げることが可能になります。アドウェアは煩わしく迷惑なものにすぎないと考えられているかもしれませんが、モバイル広告詐欺およびアドウェア関連の事例は2018年、広範的に確認されており、企業に多額の経済的実害をもたらしています。
(さらに…)