検索:
ホーム   »   Linux

活動範囲を拡大するランサムウェア「RansomExx」を事例で解説

  • 投稿日:2021年2月8日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

2020年に注目を多く集める攻撃となったランサムウェアの亜種「RansomExx」は、その後の調査によってこの活動が未だ有効であること、また更なる開発の兆候があることが示されています。最近の調査ではLinux環境に適応した新亜種が使用されたという事実も判明しており、Windows以外にも活動範囲を拡大していることが分かります。 (さらに…)

続きを読む
Tags: ランサムウェアLinux

巧妙化するシェルスクリプトの隠蔽手口について解説

  • 投稿日:2020年12月9日
  • 脅威カテゴリ:攻撃手法
  • 執筆:Trend Micro
0

PCで複数のコマンドを何度も実行する簡単な方法として、シェルスクリプトがあります。多くのユーザは、ファイル操作やプログラム実行、テキスト印刷を定期的に実施する運用環境においてシェルスクリプトを使用します。WindowsでもLinuxでもシェル(コマンドラインインタープリタ、CLI)が使用できるため、サイバー犯罪者にとっても好都合なツールとなっています。トレンドマイクロではこれまでも、シェルスクリプトを使用して行われた不正活動の事例について報告しています。特に、誤って構成されたRedisインスタンスや露出したDocker APIを悪用したり、感染PC内に存在する別の暗号資産採掘ツール(コインマイナー)を削除したりするなど、Linux環境での事例が目立っています。本ブログ記事では、サイバー犯罪者の手によってシェルスクリプトがどのように変更され、不正活動におけるマルウェアペイロードの開発にどのようにCLIが使用されているかに焦点を当てます。

(さらに…)

続きを読む
Tags: CLILinuxPowerShell

Linuxシステムを狙う不正マイニング戦争

  • 投稿日:2020年12月8日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

本記事では、暗号資産採掘ツール(コインマイナー)によりLinux システムのリソース盗用を狙う様々なサイバー犯罪者たちによる、冷酷な「戦争」について説明します。Linuxのエコシステムは、他のオペレーティングシステムと比べて安全で信頼性が高いとされています。しかし残念ながら、Google、NASA、そして米国国防省など知名度の高い企業や組織でLinuxシステムの採用が広まるにつれ、攻撃対象としてLinuxを狙うサイバー犯罪者も多くなっています。 特に、システムのリソース盗用による暗号資産採掘(不正マイニング)による利益を狙うサイバー犯罪者にとって、Linuxは中心的な攻撃対象となってしまっているようです。本記事ではまた、オープンAPIを備えたアプリケーションとDocker環境に対応したエントリポイントの移り変わりを含む、不正マイニングの攻撃チェーンについても解説します。 (さらに…)

続きを読む
Tags: コインマイナーLinux

Linuxの構成管理ツールを用いて感染拡大するコインマイナーを確認

  • 投稿日:2020年5月18日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Cyber Threat Research Team(CTRT)
0

トレンドマイクロは、2020年5月、Linuxの構成管理ツールを用いて感染拡大するコインマイナー(「Coinminer.Linux.SYSTEMDMINER.C 」として検出)を確認しました。今回確認されたコインマイナーは、Ansible, Chef, SaltStack, pssh といったインフラストラクチャの構成管理ツールを用いて、多数のホストに感染させるためのスクリプトを一斉に実行させます。このため、1台が感染すると、瞬時に内部ネットワークにある他のLinuxホストに感染を広げる可能性があります。 (さらに…)

続きを読む
Tags: コインマイナーLinux

「KORKERDS」をコピーしたLinux向け仮想通貨発掘マルウェアを確認、その他のマルウェアやプロセスを停止しリソースを占有

  • 投稿日:2019年2月12日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

トレンドマイクロは、ハニーポットのログを定期的にチェックする中で、不正なドメインから仮想通貨発掘ツール(コインマイナー)のバイナリファイルをダウンロードする興味深いスクリプトを確認しました。このスクリプトは侵入したLinuxシステム内の既知のマルウェアおよびコインマイナーを削除し、その他の発掘サービスおよびポートとの接続を切断します。スクリプトの一部は、仮想通貨発掘マルウェア「KORKERDS」や、複数のOSを対象にさまざまな攻撃を仕掛けるマルウェア「Xbash」を思い出させるようなものでした。

不正なドメインからコインマイナーのバイナリファイルをダウンロードするスクリプト
図1:不正なドメインからコインマイナーのバイナリファイルをダウンロードするスクリプト

(さらに…)

続きを読む
Tags: 仮想通貨発掘マルウェアLinux

Linux を狙う仮想通貨発掘マルウェアを確認、ルートキットを利用し活動を隠ぺい

  • 投稿日:2018年11月27日
  • 脅威カテゴリ:ルートキット
  • 執筆:Trend Micro
0

仮想通貨人気が続く中、サイバー犯罪者はさまざまな仮想通貨発掘マルウェアを開発し、継続的に微調整を加えながら攻撃に利用しています。事実、トレンドマイクロは、広範なプラットフォームおよびデバイスで一貫して仮想通貨発掘マルウェアを検出しています。

2018年10月には、Linux PC に感染する仮想通貨発掘マルウェア(「Coinminer.Linux.KORKERDS.AB」として検出)が確認されました。このマルウェアには、不正な仮想通貨発掘プロセスを監視ツールから隠ぺいするルートキットコンポーネント(「Rootkit.Linux.KORKERDS.AA」として検出)が付属しています。これにより、ユーザは不正なプロセスの存在に気付くことが困難になり、感染を示す兆候は PC のパフォーマンス低下のみとなります。また、このマルウェアは、自身とその設定を更新する機能も備えています。

(さらに…)

続きを読む
Tags: 仮想通貨発掘マルウェアLinux

Linux PC に対する DoS 攻撃が可能な「systemd」の脆弱性について解説

  • 投稿日:2017年12月7日
  • 脅威カテゴリ:脆弱性
  • 執筆:Vulnerability Researcher - William Gamazo Sanchez
0

トレンドマイクロが 2017 年 7 月に発見および報告した Linux のシステム管理機構である「systemd」の DNS リゾルバ機能における脆弱性「CVE-2017-15908」は、影響を受ける多くの Linux ディストリビューションに対して「Denial of Service(DoS、サービス拒否)攻撃」を可能とします。攻撃者が管理する DNS サーバに systemd が DNS 問合せを送信すると、サーバは特別に細工したパケットを返信します。このパケットを受信すると、systemd が無限ループに陥り、CPU 使用率が 100% になります。

(さらに…)

続きを読む
Tags: DNSLinuxsystemd

DNS ソフトウェア「Dnsmasq」に複数の脆弱性、攻撃可能な条件と対策を解説

  • 投稿日:2017年10月16日
  • 脅威カテゴリ:脆弱性
  • 執筆:Senior Threat Researcher - Federico Maggi
0

「Dnsmasq」は、小規模サーバや組み込み機器に DNS/DHCP サーバを構築するために利用される事実上の標準ソフトウェアです。2017 年 10 月 2 日、Google のセキュリティリサーチャ がバージョン 2.78 より前の Dnsmasq に存在する7 つの脆弱性を確認しました。特定のオプションでDnsmasq を実行している場合、これらの脆弱性は、「遠隔でのコード実行(Remote CodeExecution、RCE)」、情報流出、「Denial of Service(DoS、サービス拒否)攻撃」を可能にします。

(さらに…)

続きを読む
Tags: CVE-2017-14491CVE-2017-14492CVE-2017-14493CVE-2017-14494CVE-2017-14495CVE-2017-14496DNSDnsmasqLinux

脆弱性「SambaCry」を利用するLinuxマルウェアを新たに確認。Linux 利用者は至急更新を

  • 投稿日:2017年7月20日
  • 脅威カテゴリ:不正プログラム, 脆弱性
  • 執筆:Trend Micro
0

Linux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」に、 2010 年 3 月から存在していた脆弱性「CVE-2017-7494」が確認されました。2017 年 5 月に更新プログラムがリリースされていますが、この脆弱性を利用した攻撃は現在も続いています。Samba の開発チームが公開したセキュリティに関する勧告によると、この脆弱性を利用することで、書き込み可能な共有フォルダにアップロードした共有ライブラリの実行が可能になります。これに成功すると、攻撃者は、コマンド実行ツール「シェル」を起動し、任意のコマンドを実行して端末を操作できるようになります。影響を受ける Samba のバージョンは、3.5.0 以降のすべてのバージョンです。

(さらに…)

続きを読む
Tags: CVE-2017-7494LinuxSambaSambaCrySMB

続報:暗号化型ランサムウェア「Erebus」が Linux を標的に

  • 投稿日:2017年6月20日
  • 脅威カテゴリ:不正プログラム, クライムウェア, サイバー犯罪
  • 執筆:Trend Micro
0

続報:暗号化型ランサムウェア「Erebus」が Linux を標的に

2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が暗号化型ランサムウェア「Erebus(エレブス)(「RANSOM_ELFEREBUS.A」として検出)」による攻撃を受け、同社が管理する153台のLinuxサーバが感染し、ホストしていた3,400以上の企業のWebサイトへの影響が確認されました。

NAYANA は、6月12日、同社の Web サイトで告知し、管理するすべてのサーバのファイルを復号するために、攻撃者が「Bitcoin(ビットコイン、BTC)」で 550BTC(162万米ドル)にも上る高額な身代金を要求していることを明らかにしました。そして6 月 14 日の告知で、攻撃者との交渉の結果、身代金が 397.6BTC(2017 年 6 月 19 日の時点でおよそ 101 万米ドルに相当)に減額され、6 月 17日の告知で3 回に分けた支払いのうち、既に 2 度目の支払いを完了していることを発表しました。また同社は、6 月 18 日、50 台ごとに 3 次に分けて実施されるサーバ復旧作業の計画と進行状況を公開しています。2次のサーバのいくつかではデータベース(DB)エラーが発生しているとのことです。1 次と 2 次のサーバ復旧が成功した後で、3回目の支払いが行われる予定です。

金額は異なるものの、今回の事例は、身代金を支払ったにも関わらずファイルを完全に修復することができず、2 度目の身代金を請求されたカンザス州の病院の事例を思い起こさせます。

2016年9月に初めて確認されたErebusは、「malvertisement(不正広告)」によって拡散し、システムに対する未許可の変更を防ぐWindowsの機能「User Account Control(UAD)」を回避する手法を利用していました。本記事では、Linux版Erebusについて、現時点で判明している注目すべき手法について解説します。

(さらに…)

続きを読む
Tags: ErebusLinux暗号化型ランサムウェア
Page 2 of 4 ‹ 123 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.