検索:
ホーム   »   Archives for 6月 2021

クラウドサービスを狙うサイバー犯罪者集団「TeamTNT」が認証情報窃取対象を拡大

  • 投稿日:2021年6月30日
  • 脅威カテゴリ:攻撃手法
  • 執筆:Trend Micro
0

自組織で利用するクラウドサービスの悪用やソフトウェアサプライチェーン攻撃を防ぐには、組織内で管理する認証情報を適切に保護することが重要です。攻撃者はストレージメカニズム内の認証情報を狙う、あるいは侵害されたシステム内で見つかった認証情報を詐取することがよくあります。また、ユーザによるやり取り無しにアクセス可能な平文形式で保存された認証情報はDevOpsソフトウェアでは珍しくなく、暗号化されていないこれらの情報が漏えいした場合、企業の情報にアクセスされる可能性があるため大きなセキュリティリスクとなります。

攻撃者は被害者のシステム内に侵入すると、クラウドサービスプロバイダ(CSP)の認証情報を詐取することで知られています。例えばサイバー犯罪者集団「TeamTNT」はクラウド上のコンテナを標的としており、クラウドの認証情報を窃取する機能を拡張する、あるいは別のクラウド環境を探索し侵入活動を行うことが確認されています。今回トレンドマイクロは、TeamTNTが被害者のシステム内に侵入した後に被害組織が利用する様々なクラウドサービスやネットワーク内のオンプレミス環境などの認証情報を窃取するための機能をさらに拡張している新たな証拠を発見しました。本ブログでは、TeamTNTの攻撃手口および拡張された機能について解説します。

図1:認証情報を詐取するためにTeamTNTが用いる攻撃手口
図1:認証情報を詐取するためにTeamTNTが用いる攻撃手口

(さらに…)

続きを読む
Tags: クラウドTeamTNT

海賊版ソフト配布サイトから不正プログラムが拡散される手口を解説

  • 投稿日:2021年6月29日
  • 脅威カテゴリ:不正プログラム, Webからの脅威, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、情報窃取型マルウェア「CopperStealer」やアドウェア「LNKR」を含む複数の不正プログラムへ連鎖して感染させる海賊版ソフトウェア配布サイトを多数調査しました。これらの検体は通常、ペイ・パー・インストール(Pay Per Install, PPI:インストールごとに費用が支払われるモデル)のアフィリエイトネットワークを介して頒布されます。トレンドマイクロの解析では、弊社が発見したCopperStealerの検体は感染端末の表示言語が中国語に設定されていたり、サンドボックス内で実行あるいはデバッガ内で解析されたりするとすべての不正活動を終了する解析困難化の活動を持っていました。また、このCopperStealerを起点とする攻撃では、以下のような不正活動が感染環境で行われるものとわかりました:

・特定のWebブラウザに保存されたGoogleアカウントや各種SNSなどの認証情報やCookieを取得する

・悪意のあるブラウザ拡張機能をインストールする

・利用者のソーシャルメディア上での情報を取得する

・ブラウザ上から入力された内容を詐取する

・表示されたWebページに広告を注入する

・広告のIDを改変し、広告収入を横取りする

図1:感染の流れ
図1:感染の流れ

(さらに…)

続きを読む
Tags: リダイレクト連鎖アドウェアCopper StealerLNKR感染連鎖

最新のATT&CK Evaluations(Carbanak, FIN7)におけるトレンドマイクロの評価結果

  • 投稿日:2021年6月28日
  • 脅威カテゴリ:対策技術, サイバー攻撃
  • 執筆:Trend Micro
0

MITRE EngenuityによるATT&CK Evaluationsは、特定のサイバー犯罪者グループの攻撃に対するセキュリティベンダの検知能力の評価を行うものです。一方で、ベンダに対する採点や順位付けなどの評定は行いません。かわりに、特定のサイバー犯罪者グループによる攻撃をセキュリティベンダがどのように検知するか、完全な透明性をもって企業や組織が理解できるようにします。この際、ATT&CK フレームワークに沿った評価を行うことで、攻撃の全体像に対する検出状況を把握することが可能になります。

(さらに…)

続きを読む
Tags: ATT&CK EvaluationsCarbanakFIN7MITRE ATT&CK

「偽DarkSide」の脅迫キャンペーン、標的はエネルギー業界や食品業界

  • 投稿日:2021年6月23日
  • 脅威カテゴリ:メール, サイバー犯罪, サイバー攻撃
  • 執筆:Trend Micro
0

先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。

Figure 1.. Sample content from the email sent by threat actors posing as DarkSide

図1:DarkSideを装った攻撃者が送信した脅迫メールの一例

(さらに…)

続きを読む
Tags: ランサムウェアDARKSIDE

新種のランサムウェア攻撃:AlumniLocker、Humbleを解説

  • 投稿日:2021年6月17日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

2021年に入り、トレンドマイクロが新たに発見したランサムウェアの亜種に、AlumniLockerとHumbleがあります。この2つの亜種はそれぞれ暗号化後に高度な挙動および脅迫を行います。

これらのランサムウェアでは、被害者の重要なデータを公開するという二重脅迫が行われます。この2つの亜種の存在から、ランサムウェアが前年に続き2021年においても標的型のアプローチを採用していることが分かります。

(さらに…)

続きを読む
Tags: AlumniLockerランサムウェアHumble

P2Pを利用するIoTボットネットの脅威動向を予測

  • 投稿日:2021年6月15日
  • 脅威カテゴリ:ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

モノのインターネット(IoT)は、ボットネット開発を試みるサイバー犯罪者の新たな攻撃領域となっています。サイバー犯罪者はボット型マルウェアによる永続的な感染活動にユーザが対処する間も、ボットネットの維持・拡大のためにデバイスの制御権を奪い合っています。しかし、IoT機器で構成されたボットネットに多くのユーザが利用するファイル共有技術「P2P(Peer-to-Peer)」ネットワークが加わると問題はさらに複雑化します。

(さらに…)

続きを読む
Tags: IOTP2P

有料定期購読に無断で申し込むAndroid向け不正アプリ「Joker」の攻撃手口を解説

  • 投稿日:2021年6月14日
  • 脅威カテゴリ:モバイル, 攻撃手法
  • 執筆:Trend Micro
0

Joker(別名:Bread)は、Android端末を継続的に狙う最も古くから存在するマルウェアファミリの1つです。Jokerが登場した2017年から2020年初頭にかけて、Googleは1,700個以上の感染アプリをPlay storeから削除しています。またJokerを背後で操る攻撃者は2020年後半に、セキュリティ企業「Zscaler」社が発見したような検体をGoogle Play ストアに追加でアップロードしていたことがわかっています。

トレンドマイクロが実施した以前の調査では、GitHubを利用してペイロードを隠蔽するJokerの亜種を発見しました。このときに変更されたマルウェア内のコードは回避技術として機能します。攻撃者はGitHubやリポジトリを悪用することで、Googleが不正アプリの取り締まりを一貫して実施しているにもかかわらず、Jokerの新たな亜種をGoogle Play ストアに忍び込ませることに成功しています。

これらの不正アプリは以前の検体と類似していることから、単独の攻撃活動だけでなく攻撃キャンペーン全体の一部としても利用されているとトレンドマイクロは推測しています。

図1:Jokerに関連する新たな不正アプリの一部
図1:Jokerに関連する新たな不正アプリの一部

(さらに…)

続きを読む
Tags: Android端末向け不正アプリGoogle PlayJoker

急速に進歩するディープフェイクが現実的な脅威に

  • 投稿日:2021年6月11日
  • 脅威カテゴリ:ソーシャル, サイバー犯罪
  • 執筆:Trend Micro
0

2020年4月、史上初となる悪質なディープフェイクによるビデオ通話の事例が報告されました。長期にわたってトレンドマイクロが予測してきた脅威が現実のものとなりつつあります。

(さらに…)

続きを読む
Tags: 人工知能人工知能(AI)ディープフェイクDeepFake

2021年6月のセキュリティアップデートレビュー解説

  • 投稿日:2021年6月10日
  • 脅威カテゴリ:脆弱性, 速報
  • 執筆:Zero Day Initiative (ZDI)
0

今月の第2火曜日となった2021年6月8日、Adobe社およびMicrosoft社から更新プログラムがリリースされました。最新のセキュリティ更新プログラムの詳細について確認しましょう。

(さらに…)

続きを読む
Tags: パッチチューズデー更新プログラム

仮想環境をも侵害するLinux版「DARKSIDE」ランサムウェア

  • 投稿日:2021年6月10日
  • 脅威カテゴリ:サイバー攻撃, 攻撃手法
  • 執筆:Trend Micro
0

2021年5月に米国の石油パイプライン大手Colonial Pipeline社を操業停止に追い込んだランサムウェア「DARKSIDE」は、前回の記事で解説したように、米国、フランス、ベルギー、カナダなどの地域で、製造業、金融業、基幹インフラの企業などを標的にしています。またWindowsおよびLinux双方のプラットフォームも標的としています。この記事では、Linux版「DARKSIDE」ランサムウェアの動作を解説します。Linux版では特に、VMware ESXIサーバ上の仮想マシン関連ファイルを標的とし、事前に組み込まれた環境設定により仮想マシン(VM)を強制終了する点や、感染端末上のファイルを暗号化した後、窃取したシステム情報をリモートサーバに送信する挙動などをもっています。DARKSIDE自体は既に活動停止状態と考えられていますが、WindowsだけでなくLinux環境にも感染する、仮想環境をも攻撃対象とするなどの活動は、攻撃を受けた組織の被害を一層拡大させる可能性があり、他のランサムウェアでも行われる可能性が高いものであることに留意してください。

Windows版およびLinux版のDARKSIDEランサムウェアの動作の違いをまとめると、以下のとおりとなります。

Windowsバージョン Linuxバージョン
暗号化の仕組み RSA-1024によるSalsa20 RSA-4096によるChaCha20
暗号化ブロック Salsa20のマトリックスがカスタムとなり「RtlRandomExW」でランダムに生成される ChaCha20の初期ブロックは標準的なものであり、定数文字列「expand 32-byte k」で構築される
環境設定 暗号化される 暗号化されない
VMを強制終了するか しない する
暗号化の標的となるファイル 設定に記載されているファイル、フォルダ、ファイル拡張子を除く、システム上のすべてのファイル VMware ESXIサーバ上のVM関連ファイル(環境設定に記載されている特定のファイル拡張子を持つもの)
新たに追加される拡張子 感染端末のHWIDを「.4731c768」としてCRC32を数回適用して生成する 埋め込み設定により「.darkside」としてハードコード化されているか、実行パラメータで付与される
脅迫状のファイル名 README.という設定でハードコード 化された部分と、前述の生成されたIDで構成される。例えば「README. 4731c768.TXT」 埋め込み設定により「darkside_readme.txt」としてハードコード化されているか、実行パラメータで付与される

表1:WindowsおよびLinuxにおけるDARKSIDEの比較

(さらに…)

続きを読む
Tags: DARKSIDE
Page 1 of 212


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.