検索:
ホーム   »   Archives for 11月 2021

サイバー犯罪者集団「TeamTNT」がDocker hubアカウントを悪用してコインマイナーを拡散する手口を解説

  • 投稿日:2021年11月30日
  • 脅威カテゴリ:クラウド, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは脅威動向調査の一環として、攻撃者が積極的に悪用する脆弱性や設定の不備を注意深く監視しています。頻繁に悪用される設定の不備の1つに、インターネット上に露出したDocker REST APIがあります。

2021年10月トレンドマイクロは、Docker REST APIを露出させた不適切な設定状態にあるサーバを標的として、以下のような悪意のあるスクリプトを実行するイメージからコンテナを起動(スピンアップ)させる攻撃活動を観測しました。

  1. 暗号資産「Monero」を採掘するツール(コインマイナー)をダウンロードまたは同梱する
  2. よく知られた手法を用いてコンテナ経由でホストを侵害する「コンテナエスケープ」攻撃を実行する
  3. 侵害されたコンテナから露出したポートに対するインターネット全体のスキャンを実行する
図1:脆弱なDockerサーバを狙った攻撃フロー
図1:脆弱なDockerサーバを狙った攻撃フロー

(さらに…)

続きを読む
Tags: コインマイナーDDoS攻撃DockerTeamTNT

休止と再開を繰り返す「QAKBOT」の新たな攻撃手法

  • 投稿日:2021年11月29日
  • 脅威カテゴリ:不正プログラム, スパムメール
  • 執筆:Trend Micro
0

「QAKBOT(別名QBOT)」は広範囲に流行している情報窃取型マルウェアで、2007年に初めて確認されました。近年では、QAKBOTの検出が、多くの深刻なランサムウェア攻撃の前兆となっていることが確認されています。QAKBOTは、今日の多くのサイバー攻撃活動を可能にしているビジネス「マルウェアをインストールするサービス(malware installation-as-a-service)」の主力ボットネットであることもわかっています。このような初段の侵入で使用されるボットは、数カ月月単位で活動休止する場合があることが知られています。今年1月末のテイクダウンから10カ月月振りにEMOTETが活動を再開したことは11月18日の記事でお伝えしていますが、本記事で取り上げるQAKBOTも、約3カ月の休止期間を経て、2021年9月末からスパムメール送信活動の再開が確認されました。具体的には、マルウェアスパムの配信業者である「TR」が、別のマルウェアローダーである「SquirrelWaffle」やQAKBOTへ誘導する悪質なスパムメールを送信していたことが確認されています。また、10月上旬には、同じ「TR」がIMAP(Internet Message Access Protocol)サービスにブルートフォース攻撃を実行していたと報告されており、セキュリティリサーチャーの間では、「TR」が攻撃に必要な認証情報を取得するために「ProxyLogon」(Microsoft Exchange Serverの脆弱性)を使っているのではないかという憶測も流れています。

図1: QAKBOT関連のマルウェアスパムの検出推移(2021年5月10日~10月25日)
6月下旬から9月中旬までマルウェアスパムが出回っていなかったことがわかる

(さらに…)

続きを読む
Tags: 不正マクロmalware installation-as-a-serviceQAKBOTQBOT

通信事業者を装ったSMSから感染を広めるモバイルマルウェア「TianySpy」を確認

  • 投稿日:2021年11月26日
  • 脅威カテゴリ:モバイル, フィッシング, 速報, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

携帯電話のテキストメッセージ(SMS)がサイバー犯罪への誘導経路として悪用される事例が続いています。トレンドマイクロでは、この2021年9月30日頃から、通信事業者を装ったSMSから誘導される偽サイトにより、AndroidおよびiPhoneの双方を標的として最終的にマルウェア感染させられる事例を確認しました。このマルウェアに感染した場合、大手通信事業者サイトの認証情報を窃取される危険性があります。 これまでに確認されてきた偽装SMSを発端にマルウェア感染を目的とする攻撃ではAndroid端末が対象となっていましたが、iPhoneについてもその対象とする攻撃は初めてと言えます。同様の攻撃に関しては一般財団法人日本サイバー犯罪対策センター(JC3)からも注意喚起が公開されており、注意が必要です。

図 1: 今回確認された不審SMSの例(実物を元に再構成)

(さらに…)

続きを読む
Tags: モバイルマルウェアTianySpy

クラウドネイティブアプリケーションにおける脆弱性の現状について解説

  • 投稿日:2021年11月25日
  • 脅威カテゴリ:対策技術, クラウド, 脆弱性
  • 執筆:Trend Micro
0

クラウドネイティブとは何を意味するのでしょうか。Linux Foundationによるプロジェクト傘下でコンテナ技術推進などを目的に2015年に創設された財団「The Cloud Native Computing Foundation(CNCF)」によると、クラウドネイティブのテクノロジーとは、企業や組織がクラウド環境やオンプレミスアーキテクチャを駆使することで、ソリューションを発展させるのに役立つ技術と定義しています。

現在のビジネス環境では、特にコロナによるパンデミックがデジタルトランスフォーメーションを加速させている中、企業や組織は、コンテナおよび「コードとしてのインフラ(Infrastructure as Code)」を含むクラウドネイティブテクノロジーを迅速に導入しています。こうした中、クラウドネイティブ環境でのセキュリティ対策は、クラウドアプリケーションを利用したプロジェクトが世界中のさまざまな企業や組織で使用されていることから大きな懸案の1つとなっています。これらのアプリケーションを使用している企業や組織は、アプリケーションにおける相互依存関係に脆弱性が存在するだけで、システム全体に影響を及ぼし、場合によってはアプリケーションが関わるクラスター全体が危険にさらされる可能性があることを認識する必要があります。

その他、例えば、クラウドネイティブプロジェクトのほとんどは、オープンソースのソフトウェアである各種ライブラリおよびそれらの関係性に依存しています。これらのライブラリは、通常、開発ライフサイクルの中で組み込まれ、アップデートや既知の脆弱性のチェックが行われることはほとんどありません。こうした現状も、クラウド資産へのセキュリティ侵害につながる可能性があります。

本稿では、クラウドネイティブアプリケーションへのセキュリティ対策における脆弱性を整理し、企業や組織が時間とリソースを割いてセキュリティ対策を講じるべき懸念事項がいかに拡大しているかを示します。

(さらに…)

続きを読む
Tags: クラウドネイティブクラウドネイティブアプリケーション

電子メールサービスの特性を悪用する様々なビジネスメール詐欺の手口を解説

  • 投稿日:2021年11月22日
  • 脅威カテゴリ:メール, 攻撃手法
  • 執筆:Trend Micro
0

「DX(デジタルトランスフォーメーション)」や「2025年の崖」など新たなデジタル世界への対応と変革が推進される中、これらの変化を悪用する多くのオンライン攻撃や脅威が被害を拡大させています。同様に、ビジネスメール詐欺(Business Email Compromise、BEC)は、被害者の数を減少させているにもかかわらず、依然として法人組織に最も大きな金銭的損失をもたらすサイバー犯罪の1つとして確認されています。トレンドマイクロは、BECの脅威動向を継続的に監視するなかで、2021年1~9月にかけて検出数が増加していることを観測しました(図1)。

図1:2021年1~9月に検出されたビジネスメール詐欺増加率の推移(グローバル)
図1:2021年1~9月に検出されたビジネスメール詐欺増加率の推移(グローバル)
トレンドマイクロのクラウド型セキュリティ技術基盤
「Smart Protection Network(SPN)」のデータに基づく

(さらに…)

続きを読む
Tags: ビジネスメール詐欺CEO詐欺

テイクダウンされた「EMOTET」が活動再開

  • 投稿日:2021年11月18日
  • 脅威カテゴリ:不正プログラム, メール, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

今年1月末、過去最悪のマルウェアとも称されたEMOTETのテイクダウンをEUROPOLが報告しました。当ブログでも2月1日の記事でお伝えしておりましたが、それから10か月に満たない2021年11月15日以降、各地のリサーチャからEMOTETの活動再開の報告があがりはじめました。トレンドマイクロでも、EMOTETを拡散させるマルウェアスパム、新たなEMOTET本体とそのドロッパーの検体、および遠隔操作サーバ(C&Cサーバ)などの活動再開を確認しています。

図:「活動再開後」に確認したEMOTET本体をダウンロードする不正マクロを含んだWord文書ファイルの例

(さらに…)

続きを読む
Tags: 不正マクロEMOTET

2021年11月のセキュリティアップデート解説:Microsoftが55件のパッチを公開

  • 投稿日:2021年11月16日
  • 脅威カテゴリ:脆弱性
  • 執筆:Zero Day Initiative (ZDI)
0

今月の第2火曜日となった2021年11月9日には、Adobe社とMicrosoft社からセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティ更新プログラムの詳細について確認しましょう。

(さらに…)

続きを読む
Tags: パッチチューズデー

悪用された脆弱性上位をCISAが公表、テレワーク関連が顕著

  • 投稿日:2021年11月15日
  • 脅威カテゴリ:対策技術, 脆弱性
  • 執筆:Trend Micro
0

2021年7月28日、米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency (CISA)は、2020年と2021年に悪用された脆弱性の上位を詳述した報告書を公開しました。 報告書によると、攻撃者が狙う新しい標的は、2019年以降に公開されたテレワーク(リモートワーク)、VPN(Virtual Private Network)、そしてクラウドベースの技術に関連する脆弱性です。新型コロナウイルスによってクラウド化が進むとともにサイバー攻撃者もターゲットをクラウドに移動しています。攻撃者はテレワークに関連したパッチ未適用の新しい脆弱性を狙い、防御する側は定期的なパッチの適用に奮闘してきました。攻撃者が脆弱性の悪用に成功すると、リモートコード実行(RCE)、任意のコード実行、パストラバーサルなどの手法により対象システムがコントロールされることになります。

(さらに…)

続きを読む
Tags: テレワーク関連の脆弱性クラウドCISACVE-2017-11882CVE-2018-13379CVE-2018-7600CVE-2019-11510CVE-2019-19781VPN

脆弱性攻撃ツール「PurpleFox」のWebSocketを悪用する新たなバックドア手口を解説

  • 投稿日:2021年11月8日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2021年9月、トレンドマイクロのManaged XDR(MDR)チームは、脆弱性攻撃ツール「PurpleFox」のオペレータに関連する不審な活動を調査しました。調査の結果、攻撃活動に用いるために追加された脆弱性(CVE-2021-1732)や、最適化されたルートキット機能を含め、更新されたPurpleFox攻撃の手法を調査することにつながりました。

さらに当チームでは、侵入活動中に埋め込まれた.NETで書かれた新種のバックドア型マルウェアを発見しました。このバックドアは、PurpleFoxとの関連性が高いと考えられます。トレンドマイクロが「FoxSocket」と呼称するこのバックドアは、WebSocketを悪用してコマンド&コントロール(C&C)サーバとの通信のやり取りを行うため、通常のHTTPトラフィックに比べてより強固で安全な通信手段となっています。

トレンドマイクロは、この特定の脅威が今も中東のユーザを狙っていると推測しています。この攻撃手口は、中東地域のお客様を通じて初めて発見されました。トレンドマイクロは現在、世界の他の地域でもこの脅威が検出されているかどうかを調査中です。

本ブログ記事では、最初に配信されるPurpleFoxのペイロードで観測されたいくつかの変更点に加えて、新たに埋め込まれた.NETバックドアや、これらの機能を配信するC&Cサーバのインフラストラクチャについて解説します。

(さらに…)

続きを読む
Tags: FoxSocketPowerShellPurpleFoxWebSocket

ランサムウェアビジネスに新たに採用された「フランチャイズ」方式を解説

  • 投稿日:2021年11月2日
  • 脅威カテゴリ:ランサムウェア, 攻撃手法
  • 執筆:Senior Threat Researcher - Fernando Mercês
0

トレンドマイクロは、ランサムウェアグループ「XingLocker Team」の活動を調査するなかで、フランチャイズ事業にヒントを得たと見られる比較的新しく興味深い「ビジネスモデル」を発見しました。具体的には、「RaaS」と呼ばれるランサムウェアサービス(Ransomware as a Service)を利用する攻撃者が、RaaSで提供されたランサムウェアをそのまま使用するのではなく、そのランサムウェアを展開する前にリブランディングします。ランサムウェアを使用する攻撃者たちは創意工夫を凝らして身代金を獲得するためのビジネスを展開することで知られており、標的とする企業や組織がランサムウェアに対して対策を行うセキュリティソリューションを採用するにつれて、さらに高度化し続けます。

「XingLocker」は、Windowsシステムを標的とするランサムウェアファミリの1つです。XingLockerは、ランサムウェア「Mount Locker」がリブランディングされたものです。そのランサムノートでは、オリジナルのMount Lockerとは異なるOnionサービス(匿名ネットワークTorを介してのみアクセスできる匿名性の保たれたサイト)が被害者に示されています。

図1:XingLockerの被害者向け「サポート」ページ
図1:XingLockerの被害者向け「サポート」ページ
ランサムノート上のリンクをクリックした場合に表示される

(さらに…)

続きを読む
Tags: AstroLockerランサムウェアMount LockerRaaSXingLocker


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.