2021年9月初め、中国のQ&Aサイト「知乎(Zhihu)」上であるユーザが、『検索エンジンで「iTerm2」というキーワードを検索した結果、正規サイト「iterm2.com」を偽装した「item2.net」という偽サイトに繋がった』と報告したことを確認しました(図1)。この偽サイト内に記載されているリンクからは、macOS向け端末エミュレータ「iTerm2」の偽バージョンがダウンロードされます。この偽アプリが起動されると、47[.]75[.]123[.]111から悪意のあるPythonスクリプト「g.py」をダウンロード・実行して、感染端末から個人情報を収集します。トレンドマイクロ製品ではiTerm2の偽バージョンを「TrojanSpy.MacOS.ZURU.A」として、悪意のあるスクリプトを「TrojanSpy.Python.ZURU.A」として検出します。
トレンドマイクロは最近の調査で、Atlassian社が運営する社内情報共有ツール「Confluence」に内在するリモートコード実行(RCE)の脆弱性「CVE-2021-26084」を、暗号資産(旧仮想通貨)を採掘するコインマイナー(マイニングマルウェア)「z0Miner」が悪用していることを発見しました。この脆弱性は2021年8月にAtlassian社によって公開されたものです。暗号資産市場の人気が高まっていることから、トレンドマイクロは、z0Minerのようなコインマイナーの背後にいるマルウェア開発者が感染システム内で足場を築くために用いる技術や侵入経路を常にアップデートしていると予想しています。
z0Minerは2020年末にOracle WebLogic Serverの脆弱性「CVE-2020-14882」を悪用していることで最初に観測されました。以降z0Minerは、オープンソースの全文検索エンジン「ElasticSearch」に内在するセキュリティ上の弱点(バグ)「CVE-2015-1427」など、権限を必要としない様々なリモートコード実行の脆弱性を悪用して注目を集めています。
続きを読むサイバーセキュリティにおいて、「ユーザ」つまりシステムを利用する人間が最も脆弱な存在として、攻撃者に認識されていることは広く知られています。これはユーザが、攻撃における典型的な侵入経路として、ソーシャルエンジニアリング手法の対象となることを意味しています。法人組織もまた、ユーザを起点とするセキュリティ上の弱点に悩まされています。時に従業員はインターネット上の脅威に気付いていないことや、サイバーセキュリティのベストプラクティスに精通していないことがありますが、攻撃者はこれらのセキュリティ上の弱点を悪用する方法を熟知しています。
攻撃者がユーザを騙す方法の1つとして、未認証のアプリやインストーラを餌としてユーザの興味を引き、それらをインストールさせた後に悪意のあるペイロードを送り込むというものがあります。近年トレンドマイクロは、攻撃者がこれらの偽インストーラを利用して、同梱させたマルウェアを感染PC端末上に配信する手口を確認しています。これらの偽インストーラを利用した攻撃手口は目新しいものではなく、ユーザを騙して悪意のあるドキュメントを開かせたり、不要なアプリをインストールさせたりする手口は古くから広く用いられています。ユーザの中には、有料アプリの無料版やクラック版(不正に改変されたアプリ)をインターネット上で検索した際に、この罠にかかってしまう人もいます。
続きを読むバンキングマルウェア「ZBOT(別名:Zeus)」は、過去20年間で最も多くの被害をもたらした古くから存在するマルウェアファミリの1つです。ZBOTは2006年に初めて登場した後、2011年にアンダーグラウンドフォーラム上にそのソースコードを流出させたことで、その後数年間にわたって企業や組織を悩ませる新たな亜種を数多く登場させることになります。
最近確認されたZBOTの中で最も注目すべき亜種の一つが「Zloader」です。2019年後半に「Silent Night」という名前で初めてコンパイルされたZloaderは、情報窃取型マルウェアに始まり、「Cobalt Strike」、「DarkSide」、「Ryuk」などの他のマルウェアやツールをインストールして実行するための手段を攻撃者に提供する多機能ドロッパーへと高度化してきました。さらにZloaderは、攻撃者にリモートアクセス(遠隔操作)を提供したり、さらなる不正活動を可能にするプラグインをインストールしたりする機能も備えています。
本ブログでは、ランサムウェア「Cring」の攻撃が国内で拡大する状況であったことを、2021年5月の記事でお伝えしました。その際のCringの攻撃活動では初期アクセスを取得するために、安全性の低いリモートデスクトップ(RDP)機能、または仮想プライベートネットワーク(VPN)の脆弱性が悪用されていました。そして今回、CringはWebアプリケーションサーバ「Adobe ColdFusion 9」(11年前のバージョン)に内在する脆弱性を突く攻撃に用いられた脅威として再び注目されており、トレンドマイクロでもその攻撃を確認しました。本ブログ記事では、Cringの攻撃手法で用いられている技術および最も被害を受けている地域・業界について報告いたします。トレンドマイクロ製品では、Cring本体の実行ファイルを「Ransom.Win32.CRING.C」などとして、C#ベースで作成されたCringの検体を「Ransom.MSIL.CRYNG.A」などとして検出します。
■ Cring攻撃で用いられる技術
図1:Cring攻撃の感染チェーン
続きを読むトレンドマイクロでは、2016年以降、拡散されている情報窃取を行うマルウェア「FormBook」の最新バージョンを使用した新たな攻撃を検出しました。過去数年、macOSの拡張サポートを始め、FormBookに関する複数の解析結果が公表されています。FormBookは高度に難読化されたペイロードであり、文書ファイルの脆弱性を悪用していることでよく知られています。最近までFormBookの攻撃では、CVE- 2017-0199が利用されていましたが、新たなFormBookの亜種は、最新のOffice365ゼロデイ脆弱性(CVE-2021-40444)を利用しています。
続きを読むトレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。
続きを読むトレンドマイクロでは2021年上半期(1~6月)における国内外での脅威動向について分析を行いました。2020年から続く新型コロナウイルス(COVID-19)のパンデミックは2021年に入っても大きな影響を与え続けています。このコロナ禍の状況において起こっている「テレワーク推進」と「クラウド化」という組織ネットワークの変化の加速を、サイバー犯罪者は「利用」しているかのように見えます。
組織のネットワークへ侵入し気づかれぬように内部活動を行う標的型攻撃の手法は、ランサムウェア攻撃においても常套手段化しています。この6ヶ月の間に、ランサムウェアグループは米国の大手ガス供給会社を操業停止させ、米国東海岸の半分が燃料不足に陥るという事件が発生しました。また、他のランサムウェアの攻撃者は、二重恐喝の手口を用いて企業から100万ドルの支払いを得ました。ランサムウェアの甚大な被害を防ぐには、ランサムウェアを展開される前にネットワーク内で発生している不審な活動を可視化し、適切な対応を迅速に行う必要があります。
図:ランサムウェアの暴露サイト上で確認した暴露投稿とそのうちの日本企業関連投稿の件数推移
(トレンドマイクロ調べ)
2019年、トレンドマイクロは、コロンビアを拠点として、南米諸国の企業に対してメール攻撃を展開していると思われる攻撃者についてブログ記事を公開しました。この攻撃者は「APT-C-36」、或いは「Blind Eagle」と呼ばれることもあります。本ブログ記事では、トレンドマイクロがAPT-C-36の動向の追跡中に確認したメール攻撃に関する新たな調査結果を共有します。
図1:APT-C-36によるコロンビア政府税関当局を偽装した攻撃メール例
続きを読む