ホーム » Archives for 12月 2021

情報窃取型マルウェア「BazarLoader」にて侵害されたインストーラとISOファイルの悪用を確認

投稿日:2021年12月27日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

トレンドマイクロでは、情報窃取型マルウェア「BazarLoader」（トレンドマイクロ製品では「TrojanSpy.Win64.BAZARLOADER」、「TrojanSpy.Win64.BAZARLOADER」、「Backdoor.Win64.BAZARLOADER」として検出）を用いたキャンペーンの監視を続けています。情報セキュリティフォーラムは、2021年第3四半期にBazarLoaderの検出数が急増したことを報告していますが、トレンドマイクロは、攻撃者がデータの窃取やランサムウェア攻撃に悪用するために、既存の配信手法に新たな到達メカニズムを2つ追加していたことを発見しました。

そのうちの1つは、攻撃者が正規プログラムにBazarLoaderを同梱するために侵害されたソフトウェアインストーラを用いるというものです。もう1つは、Windowsショートカットファイル（.LNK）とダイナミックリンクライブラリ（.DLL）のペイロードを含むISOファイルを使用するというものです。トレンドマイクロは、BazarLoaderの最も検出数の多い地域がアメリカ大陸であることを観測しました。BazarLoaderの感染チェーンやキャンペーンに関する技術的分析や洞察については、トレンドマイクロの技術論文「BazarLoader Looking In: Analyzing the Infection Chains, Stages, and Campaigns（英語）」をご確認ください。

(さらに…)

「Earth Tengshe」によるマルウェア「SigLoader」を用いた攻撃キャンペーンで観測された新たなペイロード

投稿日:2021年12月24日
脅威カテゴリ:メール, 脆弱性, 攻撃手法
執筆:Trend Micro

トレンドマイクロでは2020年以降に日本国内の組織を対象としたAPT・標的型攻撃を複数観測し、その攻撃者グループを「Earth Tengshe」と命名しました。この一連の攻撃は、日本を狙う標的型攻撃「A41APT」キャンペーンとして報告されている攻撃活動の一部とみられ、「SigLoader（DESLoader）」や「SodaMaster（DelfsCake）」、「P8RAT（GreetCake）」などのマルウェアが悪用されることで知られています。トレンドマイクロが2021年4月以降に確認した当該キャンペーンの攻撃では、SigLoaderから最終的に実行されるペイロードとして、以前の報告時点からバージョンアップされたSodaMasterや、新たに確認された「Jackpot」というマルウェアが用いられたことを確認しています。Earth Tengsheは現在も日本を含めた地域において、活発に攻撃を行っていると考えられます。

図1：「A41APT」キャンペーンと攻撃者グループ「APT10」および「Earth Tengshe」の関連図

(さらに…)

セキュリティ脅威予測：2022年に備えるべき脅威を分析

トレンドマイクロでは2021年の脅威動向から、来る2022年に起こり得る脅威状況とそれに対し各企業が備えるべき対策について分析を行いました。2021年は、多くの企業にとってターニングポイントとなった年と言えるでしょう。各国でロックダウンの状態が続いたことで、多くの企業がデジタルトランスフォーメーション（DX）を加速させ、ハイブリッドワークモデルを採用しました。しかし新型コロナウイルスの世界的流行から1年以上が経過した今、これらの企業は「新たな日常」の足場を確かにするためにも、さらなる「ギアチェンジ」が必要となるでしょう。

(さらに…)

「Log4Shell」に続いて確認されたLog4jの脆弱性「CVE-2021-45105」を徹底解説

投稿日:2021年12月23日
脅威カテゴリ:脆弱性
執筆:Zero Day Initiative (ZDI)

本稿では、Apache Log4jで確認されたサービス拒否(DoS)攻撃に関連する脆弱性（CVE-2021-45105）について説明しています。この脆弱性は「Log4Shell」（CVE-2021-44228）の直接的な亜種ではないものの、同種の攻撃経路であり、攻撃者が制御するログ情報のLookup機能を悪用する点で両者は類似しています。ただしこの脆弱性の場合、JNDI以外のLookupが悪用される可能性があります。

Apache Log4jのAPIは、Lookupにおける変数の置換をサポートしています。この際、細工された変数を用いることで、制御不能な再帰的な置換により、アプリケーションをクラッシュさせることが可能になります。つまりこれにより、Lookupのコマンドを制御できる攻撃者（例：Thread Context Map経由など）は不正なLookup変数を細工し、DoS攻撃を引き起こすことができます。この現象は、バージョン2.16.0 を含むLog4jの各バージョンのテストで確認されています。

(さらに…)

新種マルウェア「Squirrelwaffle」の拡散手口：脆弱性「ProxyShell」と「ProxyLogon」を悪用しExchange Serverを乗っ取る

2021年9月、Squirrelwaffleは、スパムキャンペーンを通じて拡散される新種のローダとして登場しました。このキャンペーンは、悪意のある電子メールを既存のメールチェーンに返信する形で送信していたことで知られています。これは、不正活動に対するメール受信者の警戒心を弱めるための戦術です。これを可能にするために攻撃者は、Microsoft Exchange Serverの脆弱性である「ProxyLogon」と「ProxyShell」の双方に対する脆弱性攻撃ツール（エクスプロイト）を連鎖的に悪用していたとトレンドマイクロは推測しています。

トレンドマイクロのインシデント・レスポンスチームは、中東で発生したSquirrelwaffleに関連するいくつかの侵入事例を調査しました。トレンドマイクロは、これらの攻撃手口に上記のエクスプロイトが関与しているかどうかを確認するため、初期アクセス時の手口について掘り下げて調査しました。

今回の推測は、トレンドマイクロが観測したすべての侵入事例が「ProxyLogon」と「ProxyShell」に対して脆弱とみられるオンプレミスのMicrosoft Exchange Serverから発生していたという事実に起因しています。本ブログ記事では、これらの観測された初期アクセス時の手口と、Squirrelwaffleキャンペーンの初期段階について詳説します。

(さらに…)

2021年12月のセキュリティアップデート解説：「Log4Shell」など156件

投稿日:2021年12月17日
脅威カテゴリ:脆弱性
執筆:Zero Day Initiative (ZDI)

2021年最後の第2火曜日となった12月14日は、Microsoft社、Adobe社に加え、Apple社、Google社からも最新のセキュリティアップデートが公開されました。今回リリースされた最新のセキュリティアップデートの詳細について確認しましょう。

(さらに…)

Linux脅威レポート：2021年上半期の動向と必要な対策を解説

Linuxは、その安定性と柔軟性、そしてオープンソースであることから、多くの人がユニークなオペレーティングシステム（OS）として評価しています。その高い評価を裏付けるのが、近年の数々の目覚ましい成果です。例えば、W3Techsの調査によると、世界の上位500台のスーパーコンピュータの100％がLinuxを使用しており、世界の上位1,000件のウェブサイトの50.5％がLinuxを使用しています。以前のLinuxに関する解説記事では、2017年のパブリッククラウドのワークロードの90％でLinuxが稼働し、このOSがクラウドを支配していることも紹介しました。また、現在ではLinuxはスマートウォッチや高速鉄道、さらには世界の主要な宇宙開発プログラムをも支えています。

(さらに…)

Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説

投稿日:2021年12月15日
脅威カテゴリ:対策技術, 脆弱性, 速報
執筆:Trend Micro

【追記情報：2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。

Java向けのログパッケージとして広く利用されているApache Log4j上に存在する脆弱性が発見されました。この脆弱性は、細工したログメッセージを送信することで任意のコード実行が可能になります。すでにCVE-2021-44228として採番され、「Log4Shell」という名前が付けられています。この脆弱性は、2021年11月24日にApache上での存在が非公開で報告され、2021年12月9日にLog4jのバージョン2.15.0において、修正パッチが適用されました。この脆弱性は、Log4jのライブラリを使用する広範囲の製品に影響します。この脆弱性については既に12月11日の記事で第一報をお知らせしていますが、本記事ではこの脆弱性を悪用する手法と攻撃事例について報告します。

(さらに…)

「Apache Log4j」ライブラリに深刻なゼロデイ脆弱性が発覚

投稿日:2021年12月11日
脅威カテゴリ:脆弱性, 速報
執筆:Trend Micro

【追記情報：2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。その他、トレンドマイクロ製品による保護の内容の更新を追記しました。

【追記情報：2021年12月16日(木)】Log4j2の新バージョン2.16.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。

【追記情報：2021年12月15日(水)】トレンドマイクロ製品による保護の内容の更新を追記しました。

【追記情報：2021年12月14日(火)】トレンドマイクロ製品による保護の内容の更新、およびトレンドマイクロ製品によるデモ動画(英語)のリンクを追記しました。

【追記情報：2021年12月13日(月)】一般的な緩和策の詳細、およびトレンドマイクロ製品による保護の内容を追記しました。

【追記情報：2021年12月12日(日)】当該脆弱性の詳細情報と検知状況を追記しました。

当該記事の内容は2021年12月21日(火)時点の情報をもとにしており、今後更新される可能性があります。情報に更新があった場合は本記事を適宜更新いたします。

米国時間2021年12月9日、Apache Log4j2ログ出力ライブラリの複数のバージョンに影響を与える深刻なゼロデイ脆弱性情報が公開されました。CVE-2021-44228として登録されたこの脆弱性は、様々なブログやレポートで「Log4Shell」と呼ばれています。この脆弱性が悪用されると、影響を受ける環境で特定の文字列をログに記録することにより、任意のコードを実行（RCE：Remote Code Execution）される可能性があります。

(さらに…)

国際的な捜査活動により「GandCrab/REvil」および「Cl0p」カルテルのメンバーが逮捕

投稿日:2021年12月9日
脅威カテゴリ:その他, ランサムウェア
執筆:Trend Micro

ランサムウェアサービス（Ransomware as a Service、RaaS）を通じて拡散力を高めていたサイバー犯罪組織2つのメンバーとみられる容疑者が合計13人逮捕されました。今回の捜査活動は、法執行機関や民間団体（トレンドマイクロを含む）の参加する5大陸にまたがる国際的な連合体が、大規模な攻撃活動を続けるランサムウェアのオペレータを取り締まるために実施されました。

(さらに…)

Page 1 of 212