この記事では、組織のSOCが直面するさまざまな今日の脅威と、その対処に必要なセキュリティソリューションについて理解するために、ランサムウェア「RYUK」の攻撃への対処の実例を示します。組織を狙う攻撃は日に日に巧妙化していきます。これに対処しなければいけない組織のSOCは、従来の対応方法では解決できない課題を抱えています。
図:ランサムウェア「RYUK」が作成する脅迫状 (さらに…)
続きを読むトレンドマイクロでは最近、サイバー犯罪集団「OceanLotus」に関連すると考えられる新しいバックドア型マルウェアを発見しました。今回新亜種に備わった追加機能の一部(トレンドマイクロでは「Backdoor.MacOS.OCEANLOTUS.F」として検出)には、新しい動作およびドメイン名が含まれています。本記事執筆時点では、本検体は他のマルウェア対策ソフトでは未検出となっています。
今回確認された検体は、動的な動作およびコードの類似性により、以前確認された検体の亜種であることが判明しました。
図1:以前確認されたOceanLotusの不正コード (さらに…)
続きを読む前回記事ではアンダーグラウンドマーケットで取引されるインフラについて説明しました。それらのインフラの中でも、防弾ホスティング(BPH)サービスは、長きにわたりサイバー犯罪インフラを保護する重要な要素としてサイバー犯罪者に利用されています。これらのサービスは、サイバー犯罪者の不正活動をどのように保護しているのでしょうか。また、サイバー犯罪者はどのように防弾ホスティングサービスを利用してビジネスを継続しているのでしょうか。
多くのサイバー犯罪活動には、ある程度の組織、計画、およびその背後に存在する個人またはグループの技術的洞察を反映する何らかの形の活動基盤があります。アンダーグラウンドで提供されるインフラを利用することは、サイバー犯罪者が不正活動を遂行する上で必要不可欠のものです。弊社トレンドマイクロは、サイバー犯罪を幇助する情報が闇市場で取引される方法や提供されるサービスの種類について別々のホワイトペーパーにまとめて公開したのち、本ブログでも概説しました。本ブログ記事では、サイバー犯罪者がサーバなどの資産を不正に確保し、ビジネスで生き残るために採用する手口について解説します。
サイバー犯罪者は、マルウェアやエクスプロイトキットなどアンダーグラウンドで日常的に取引される商品に加えて、すべてのサイバー犯罪活動を支える安定したホスティングインフラを維持することにも注力しています。これらのインフラは、サイバー犯罪者が用いるインフラの匿名性を高めて稼働させる防弾ホスティング、感染PC端末で構築されたレンタル用ボットネット、あるいはそれらを操作・制御するために必要な不正コンテンツやコンポーネントをホストするために利用される場合があります。
サイバー犯罪者間で行われる取引方法は、多くの点において正規企業が用いるそれと似ています。闇市場での取引経験の有無に関係なくサイバー犯罪者は、さまざまなプラットフォーム上で商品を取引しています。商品を取引する場所としてソーシャルメディアを利用する者もいれば、他のサイバー犯罪者の管理下にあるWebサイトでのみ取引を行う者、あるいは精査されたアンダーグラウンドフォーラムでのみ取引する者もいます。
トレンドマイクロは2020年10月6日公開のブログ記事で、サイバー犯罪者が不正活動に用いるサービスやインフラ、ツールを取引するアンダーグラウンドマーケットの概要について報告しました。取引される商品はさまざまであり、商品の売り手側は、買い手側のあらゆる要望に応えています。本ブログ記事では、サイバー犯罪経済動学、つまりアンダーグラウンドで提供されるサービスや特定のサイバー犯罪者が欲するアプリケーションに配慮して構築されるインフラについて詳説します。