ホーム » エクスプロイトキット

新しく確認された暗号化型ランサムウェア「PRINCESS EVOLUTION」が RaaS 利用者を募集

トレンドマイクロは、2018 年 7 月 25 日以降、「malvertisement（不正広告）」と脆弱性攻撃ツール（エクスプロイトキット）「Rig EK」を利用して、仮想通貨発掘マルウェアや暗号化型ランサムウェア「GandCrab」を拡散する活動を確認してきました。その後、8 月 1 日には、Rig EK によって、今まで知られていなかったランサムウェアが拡散されていることを確認しました。この新種と思われるランサムウェアを詳細に解析したところ、匿名ネットワーク「Tor」内で身代金支払いページを確認することができました。このランサムウェアは「PRINCESS EVOLUTION（プリンセスエボリューション）」（「RANSOM_PRINCESSLOCKER.B」として検出）と呼ばれおり、実際に、2016 年に確認された暗号化型ランサムウェア「PRINCESS LOCKER」の新しいバージョンであることが判明しました。PRINCESS EVOLUTION は、「Ransomware as a Service（サービスとしてのランサムウェア、RaaS）」として提供されており、アンダーグラウンドの掲示板で利用者を募集していました。

図 1：身代金支払いページの「PRINCESS EVOLUTION」のロゴ

(さらに…)

エクスプロイトキット「Magnitude EK」が韓国を対象に暗号化型ランサムウェア「MAGNIBER」を拡散

韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER（マグニバー）」（「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出）が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement（不正広告）」を介し、脆弱性攻撃ツール（エクスプロイトキット）「Magnitude Exploit Kit （Magnitude EK）」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。

(さらに…)

攻撃キャンペーン「EITest」によるサポート詐欺サイト、仮想通貨発掘コードを拡散

攻撃キャンペーン「EITest」は、2014 年に初めて確認されて以来、脆弱性攻撃ツール（エクスプロイトキット）を利用してランサムウェアなどさまざまなマルウェアを拡散しています。トレンドマイクロは、今回、ソーシャルエンジニアリングとして「サポート詐欺」を利用して、仮想通貨を発掘する JavaScript 形式の「HKTL_COINMINE」が拡散されていることを確認しました。「サポート詐欺」とは、正規のテクニカルサポートサービスを装った Web サイトで「マルウェア感染」などの文言を表示し、そうとは知らずに引っかかったユーザからサービス利用料や金融情報を詐取する手法です。

(さらに…)

「Astrum EK」の更新を確認。エクスプロイトキット脅威再燃となるか

投稿日:2017年5月22日
脅威カテゴリ:不正プログラム, サイバー犯罪, 脆弱性, TrendLabs Report
執筆:Fraud Researcher - Joseph C Chen

「脆弱性攻撃ツール（エクスプロイトキット）」の活動は 2016年下半期より、「Magnitude Exploit Kit（Angler EK）」、「Nuclear EK」、「Neutrino EK」、「Neutrino」、「Rig EK」を中心に減少傾向を示しています。しかしこれは、エクスプロイトキット自体が活動を諦めたわけではありません。「Astrum EK（別名：「Stegano EK」）」は、従来から存在するあまり目立たないエクスプロイトキットとして知られていますが、最近トレンドマイクロでは、このエクスプロイトキットの更新を複数回確認しました。

「Astrum EK」は、不正広告キャンペーン「AdGholas（アドゴラス）」だけに利用されるエクスプロイトキットとして知られ、この広告キャンペーンを介したオンライン銀行詐欺ツール「Dreambot／Gozi（別名「URSNIF」、「BKDR_URSNIF」として検出対応）」や「RAMNIT（「TROJ_RAMNIT」、「PE_RAMNIT」として検出対応）」など、深刻な脅威をもたらしていました。また、別の不正広告キャンペーン「Seamless」による不正サイトへの誘導に利用されることも、弊社では確認しています。「Seamless」は、通常、「Rig EK」が利用されることで知られています。

「Astrum EK」の最近の活動からは、複数の更新が施され、上述のような既存のマルウェアに利用されるだけでなく、利用範囲を広げ、今後の大規模なキャンペーン活動の準備をしているようにも見えます。特に「ディフィー・ヘルマン鍵交換（DH鍵交換）」を悪用して、セキュリティリサーチャやエンジニアの解析やフォレンジック分析を阻もうとする手口は、セキュリティ対策へ挑戦とも見て取れます。

(さらに…)

2016年を振り返る：相次ぐ主流エクスプロイトキットの活動停止、減少傾向は続くか

投稿日:2017年2月16日
脅威カテゴリ:不正プログラム, サイバー攻撃, 統括, 脆弱性, TrendLabs Report
執筆:TrendLabs フィリピン

2016年を振り返る：相次ぐ主流エクスプロイトキットの活動停止、減少傾向は続くか

「脆弱性攻撃ツール（エクスプロイトキット）」の脅威状況は、2016年後半に大きく変わりました。それまで非常によく利用されていたエクスプロイトキットが突然減少する、あるいはサイバー犯罪者がその運用方法を切り替える、などの変化が見られました。「Angler Exploit Kit（Angler EK）」は、2015年以来、最も活発なエクスプロイトキットでしたが、突然活動を終了しました。2016年第1四半期に検出された 340万件のAngler EKの攻撃について、トレンドマイクロが追跡調査したところ、2016年後半、攻撃率は「０」にまで急低下しました。

(さらに…)

ステガノグラフィの手法を駆使するエクスプロイトキット「Sundown EK」を確認

投稿日:2017年1月5日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report, Webからの脅威, 攻撃手法
執筆:Threats Analysts - Brooks Li and Joseph C. Chen

「脆弱性攻撃ツール（エクスプロイトキット）」の2016年動向を振り返ると、主要なエクスプロイトキットが姿を消すなど、大きな変化が見られた年でした。2016年5月から「Nuclear Exploit Kit（Nuclear EK）」が勢いを失い始め、6月には「Angler EK」の関係者50名近くがロシア連邦保安庁に逮捕され、このエクスプロイトキットも姿を消しました。2016年9月には「Neutrino EK」が依頼ベースの提供のみにシフトしたと報じられました。そして現在、最も広く出回っているエクスプロイトキットは「Rig EK」と「Sundown EK」です。両者は「Neutrino EK」が姿を消して間もなくしてから勢いを増し始めました。

特に「Sundown EK」は、他のエクスプロイトキットとは異なる特徴を示していました。このエクスプロイトキットは、旧来のエクスプロイトキットを再利用してはいるようですが、自身を隠ぺいする動作を行ないません。ブラウザ上で動画等が再生される際、通常はブラウザ拡張機能「Silverlight」が拡張子「XAP」のファイルをリクエストします。他のエクスプロイトキットでは、この「Silverlight」の動作を偽装することで自身の存在を隠ぺいしようとします。しかし、「Sundown EK」がホストされたURL ではこのような隠ぺい工作はされず、通常とは異なる、拡張子「SWF」の Flashファイルをリクエストします。また、他のエクスプロイトキットが利用するアンチクローリング機能も備えていません。

(さらに…)

新しいエクスプロイトキット「Bizarro Sundown EK」を確認。「LOCKY」に誘導

投稿日:2016年11月7日
脅威カテゴリ:不正プログラム, サイバー攻撃, 脆弱性, TrendLabs Report, 改ざん
執筆:Threats Analysts - Brooks Li and Joseph C. Chen

新しいエクスプロイトキット「Bizarro Sundown EK」を確認。「LOCKY」に誘導

新しいエクスプロイトキット「Bizarro Sundown Exploit Kit （Bizarro Sundown EK）」が確認されました。トレンドマイクロは、複数の種類の暗号化型ランサムウェア「LOCKY」を拡散するこのエクスプロイトキットの2つのバージョンを確認しました。このエクスプロイトキットは、以前から存在する「Sundown Exploit Kit（Sundown EK）」が土台になっています。Sundown EK は、過去に優勢だった「Neutrino Exploit Kit（Neutrino EK）」の活動が停滞した時、「Rig Exploit Kit（Rig EK）」とともに活発化し始めました。

(さらに…)

Angler EK の活動が停滞。他のエクスプロイトキットによる新暗号化型ランサムウェア拡散を確認

投稿日:2016年6月24日
脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
執筆:Fraud Researcher - Joseph C Chen

トレンドマイクロは、2016年3月、エクスプロイトキット最新動向分析について報告。その中で、「Angler Exploit Kit（Angler EK）」が2015年に検出されたエクスプロイトキットにおいて59.5%と首位であったことに言及しています。ところが今や、Angler EK はほぼ壊滅状態にあります。

(さらに…)

エクスプロイトキット最新動向分析：狙われる国、与える影響の大きさ

投稿日:2016年3月22日
脅威カテゴリ:不正プログラム, サイバー攻撃, TrendLabs Report
執筆:Threats Analysts - Brooks Li and Joseph C. Chen

第1回エクスプロイトキット最新動向分析では、2015年のエクスプロイトキット動向で観測された「改良」点と変化点について報告しました。第2回の今回は、どのエクスプロイトキットが多用されたか、また、どの国が狙われ、どれほどのユーザが影響を受けたのか、といったエクスプロイトキットが与えた影響の大きさについて考察します。

(さらに…)

エクスプロイトキット最新動向分析：Webサイト改ざんと不正広告を経由し、Flash脆弱性を攻撃

投稿日:2016年3月15日
脅威カテゴリ:サイバー攻撃, 脆弱性, TrendLabs Report, 改ざん
執筆:Threats Analysts - Brooks Li and Joseph C. Chen

エクスプロイトキットは2015年の脅威状況において、脅威連鎖の中核的存在でした。新たな脆弱性を素早く攻撃可能にすると同時に、「malvertisement（不正広告）」や改ざんされたWebサイト経由で広範囲に攻撃が拡散されていました。本ブログでは、これらのエクスプロイト動向についてトレンドマイクロが行った分析について2回に分けて報告いたします。第1回の今回は、新たに確認された脆弱性からエクスプロイトキットを利用した攻撃の一部として用いられた新しい手法など2015年におけるエクスプロイトキットの「改良」について、第2回は、トレンドマイクロのクラウド型対策技術基盤「Smart Protection Network（SPN）」からのフィードバックをもとに、エクスプロイトキットが与えた影響の規模、また、最も影響を受けた国や地域について報告します。

(さらに…)

Page 1 of 212