トレンドマイクロのリサーチャは、さまざまなルータやモノのインターネット(Internet of Things、IoT)デバイスを狙うために複数の脆弱性を利用する「Mirai」の新しい亜種(「Trojan.Linux.MIRAI.SMMR1」として検出)を確認しました。Miraiはこれまでに、さまざまなDDoS攻撃に利用されていたことで知られている悪名高いマルウェアです。今回確認されたバージョンのMiraiは、IoT関連の脅威を監視するためにリサーチャが設定したハニーポットにおいて確認されました。
続きを読むモノのインターネット(Internet of Things、IoT)を狙うマルウェア「Mirai」の新しい亜種がセキュリティ企業「Palo Alto Networks」のリサーチャによって報告されました。Palo Altoの解析によると、この新しい亜種は新旧の脆弱性を利用し、業務利用されているデジタルサイネージ用機器およびワイヤレスプレゼンテーションシステムを攻撃対象とします。また、辞書攻撃に使用する初期設定の認証情報一覧には新しい認証情報が追加されていました。
トレンドマイクロはこのMiraiの新しい亜種を「Backdoor.Linux.MIRAI.VWIPI」および「Backdoor.Linux.BASHLITE.AME」として検出対応しています。
続きを読むトレンドマイクロは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性が、Miraiの新しい亜種「Yowai」および「Gafgyt」の亜種「Hakai」によって利用されていることを確認しました。これらのマルウェアは初期設定の認証情報を利用した辞書攻撃や脆弱性攻撃によって侵入し、感染したデバイスをボット化して「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」に利用します。YowaiおよびHakaiによる攻撃の急増が2019年1月11日から17日にかけて確認されています。
続きを読む脆弱性を利用したスマートデバイスへの攻撃は、「モノのインターネット(Internet of Things、IoT)」機器を使用する多くのユーザにとって以前からの課題となっています。中でも、もっとも悪名高い脅威は、常に変化を続けてきたIoTマルウェア「Mirai」でしょう。Miraiは過去、多くのキャンペーンで、弱いパスワードや初期設定の認証情報をそのまま使用しているデバイスの侵害に利用されてきました。2016年にMiraiのソースコードが流出してからは、さまざまな亜種が出現しています。
トレンドマイクロは、「Miori」と呼ばれるMiraiの新しい亜種を確認しました。Mioriは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性を利用して拡散します。この脆弱性を利用する攻撃は比較的新しく、「Proof-of-Concept(PoC、概念実証型エクスプロイト)」は、2018年12月11日になって初めて公開されています。影響を受けるThinkPHPのバージョンは、5.0.23より前の5.xと5.1.31です。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計でも、問題のRCE脆弱性に関連したイベントが最近増加しています。
続きを読む開放されたポートを狙う攻撃は、多くの IoTデバイスにおいて現在進行中の課題となっています。特に TCP 5555番ポートは以前にも攻撃に利用されており、このポートを開放したまま出荷し端末を攻撃に露出させてしまっていた製造業者も確認されています。
トレンドマイクロは、2018 年 7 月 9 日から 10 日と、15 日の 2 度にわたり、5555 ポートを狙う新しい攻撃を確認しました。この攻撃では、Android 端末のコマンドラインツール「Android Debug Bridge(ADB)」が利用されました。ADB は、「Android Software Development Kit(Android SDK)」に含まれており、通常は、アプリのインストールやデバッグなどを行う際に開発者が使用するツールです。弊社のデータによると、確認されたネットワークトラフィックは、第 1 波が主に中国と米国から、第 2 波が主に韓国からのものでした。
図 1:TCP 5555 番ポートで確認された活動
トレンドマイクロは、2018 年 5 月上旬、メキシコを発信源とする「Mirai」の亜種を利用したネットワークスキャン活動を確認しました。この攻撃は、2018 年 4 月にブラジルで確認された、Mirai を模倣した中国発のネットワークスキャン活動に類似しています。異なる点は、今回検出された活動の一部で、光通信規格「Gigabit Passive Optical Network(GPON)」を利用する家庭用ルータの 2 つの脆弱性、「CVE-2018-10561」と「CVE-2018-10562」を狙う攻撃が確認されたことです。これらの脆弱性を利用すると、機器への侵入と「遠隔でのコード実行(Remote Code Execution、RCE)」が可能になります。
続きを読む
2018 年 1 月 8 日、セキュリティリサーチャが、仮想通貨発掘ソフトウェア「Claymore」を乗っ取る新しい「Satori(サトリ)」の亜種(「ELF_MIRAI.AUSV」、「ELF64_MIRAI.D」として検出)を確認したと発表しました。この亜種は端末所有者の発掘設定を攻撃者のものに書き換えることで発掘した仮想通貨を窃取します。新しい亜種のコードを解析したところ、背後にいる攻撃者は従来の Satori と同じであることを示す結果が得られたとのことです。
続きを読むPage 1 of 22
