ホーム » RAT

脆弱性攻撃ツール「Purple Fox」に採用された新たな攻撃経路と高度化するツール群を解説

投稿日:2022年4月20日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

トレンドマイクロは2018年に世界で3万人以上のユーザが感染被害を受けたとする報道がなされて以来、脆弱性攻撃ツール「Purple Fox」の脅威を継続的に追跡調査しています。本ブログではこれまでにも、Purple Foxが暗号資産採掘ツール（コインマイナー）を感染PC端末内にダウンロードして実行する手口や、新種のバックドア型マルウェアを追加すると同時に、自身のインフラストラクチャを高度化させ続ける手口などを取り上げてきました。

本ブログ記事では、Purple Foxに採用された新たな侵入経路と、Purple Foxボットネットの背後に存在する侵入ツール群との関連性が示唆される感染チェーンの初期段階で用いられるアクセスローダを取り上げます。トレンドマイクロのデータでは、ユーザのPC端末が正規のアプリインストーラを偽装したトロイの木馬型ソフトウェアパッケージの標的となっていることが明らかとなりました。この偽インストーラは、ユーザを騙してボットネット全体のインフラを拡大するために積極的にインターネット上で頒布されています。他のセキュリティ会社もまた、PurpleFoxの最近の活動や最新のペイロードについて報告しています。

(さらに…)

標的型サイバー攻撃者集団「Earth Karkaddan」が用いる攻撃手口を解説

投稿日:2022年3月16日
脅威カテゴリ:フィッシング, サイバー攻撃
執筆:Trend Micro

「APT36（別称：Earth Karkaddan）」は、政治的な動機により標的型サイバー攻撃を行う犯罪者グループであり、トレンドマイクロは以前にも同グループがインド軍高官や在外公館をターゲットにしていたことを観測し、本ブログで解説しました。このグループ（C-Major作戦、ProjectM、Mythic Leopard、Transparent Tribeとも呼称される）は、ソーシャルエンジニアリングの手法やフィッシングメールを介した誘導手口をエントリポイント（侵入口）として用いることで知られており、侵入後、感染端末内に「Crimson Remote Access Trojan（RAT）」を展開して情報を窃取します。

トレンドマイクロは2021年後半に、Earth Karkaddanグループが好んで用いたWindows端末用マルウェア「Crimson RAT」と設計が酷似しているAndroid端末用マルウェア「CapraRAT」を同グループが使用していることを突き止めました。これらのツールには、機能名、コマンド、性能などで非常に興味深い共通点があり、それらの詳細については、トレンドマイクロの技術論文「Earth Karkaddan APT（英語）」で取り上げています。

今回実施した調査は、2020年1月～2021年9月までに収集されたトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」のデータに基づいています。

(さらに…)

標的型RATと同一のファイルレス活動を持つMac向けアドウェア「Bundlore」を解析

投稿日:2021年10月1日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

リモートアクセストロジャン（RAT）である「NukeSped」のサンプルの調査中、トレンドマイクロは、NukeSpedに散見されるものと同一のファイルレスルーチンを使用している「Bundlore」アドウェアのサンプルを複数検出しました。

RATであるNukeSpedを拡散させているのは標的型の攻撃者であるLazarusとされています。Lazarusは2014年以降、活発に攻撃を展開しています。NukeSpedの亜種は複数確認されており、多くは32ビットシステム上で稼働するように設計されています。検出回避を狙う活動として、暗号化された文字列を使用しています。最近では、Lazarusによるサイバー諜報活動の一環として、NukeSpedをより複雑化した「ThreatNeedle」と呼ばれるRATも出現しています。次に、Bundloreは、正規アプリのダウンロードを偽装し、ターゲットのデバイスにアドウェアをインストールするマルウェアファミリーです。本サンプル中から検出した、暗号化されたMach-Oファイル（macOSでの実行可能形式ファイル）は、Bundloreアドウェアのステルス活動をメモリに内在する脅威、つまりファイルレス活動へとアップグレードしていました。また、BundloreはmacOS向けのアドウェアであり、昨年は当時の最新バージョンであるmacOS Catalinaでの攻撃が確認されていました。

(さらに…)

Zoom人気に便乗し遠隔操作を狙う攻撃を確認

投稿日:2020年5月12日
脅威カテゴリ:不正プログラム, 攻撃手法
執筆:Trend Micro

新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool（RAT）」を悪用する、同様の手口を用いた攻撃を確認しました。

(さらに…)

遠隔操作ツール「Gh0stCringe」が人気コミュニケーションアプリを偽装したメールで拡散

人気の企業やサービスからの連絡メールを偽装して受信者を騙し、不正サイトへ誘導する攻撃は継続してその手口を変化させています。トレンドマイクロでは、人気コミュニケーションアプリの運営会社からのメールを偽装し、不正サイトへの誘導から遠隔操作ツール（RAT）である「Gh0stCringe」の亜種を感染させる攻撃を国内で確認しました。この攻撃ではRATと共に不正活動の隠蔽を行うルートキットが侵入するため、被害に遭ったことに気づけない可能性が高い攻撃になっています。

図1：Gh0stCringeを感染させる不正サイトの例

(さらに…)

日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説

２月２８日のブログ記事において、日本国内で確認された古いExcel４.0マクロを利用した攻撃について報告しました。この攻撃の背後には特定のサイバー犯罪者集団の存在が推測されていますが、トレンドマイクロでは過去2ヶ月間に行われた同一のサイバー犯罪者集団によるものと考えられる新たな攻撃を徹底的に追跡し、様々な攻撃手法を確認しました。このサイバー犯罪者集団はさまざまなマルウェアを利用して複数の金融機関や小売企業を狙った攻撃を続けており、セキュリティ企業「Proofpoint」によって「TA505」と名付けられた集団と同一と考えられます。最新の活動では主に韓国のユーザに狙いを定め、HTML形式の添付ファイルを使って遠隔操作ツール（Remote Access Tool、RAT）「FlawedAmmyy RAT」のダウンローダへ誘導する不正な.XLSファイルを拡散したことが確認されました。

(さらに…)

活発なアンダーグラウンド市場：不正ソフトウェアの販売手口について解説

投稿日:2019年1月15日
脅威カテゴリ:サイバー犯罪
執筆:Senior Threat Researcher - David Sancho

サイバー犯罪をめぐる現代の状況は、10年程前と比べても大きく変化しています。当時はほとんどのサイバー犯罪者が、自身で一連のツールを作成するか、別の開発者を雇って作成させるかしていました。そして、世界規模のオンライン攻撃は、必要な技能や知識を持つ有能なプログラマが実行するものでした。やがて、サイバー犯罪者たちは、攻撃ツールや手口を共有し拡散するために仲間内でコミュニティを形成するようになりました。このようなコミュニティが、他のサイバー犯罪者がツールを購入する市場へと発展しました。

(さらに…)

検出が困難になる標的型サイバー攻撃に必要な防御アプローチとは？

昨今の法人組織を取り巻くサイバー攻撃の脅威は深刻な状況となっており、情報漏えいなどの重大な被害につながる恐れがある標的型サイバー攻撃の手口は巧妙化を続けています。トレンドマイクロが公開した「国内標的型サイバー攻撃分析レポート 2018 年版」では、2017 年にトレンドマイクロがネットワーク監視を行った法人組織のうち、「4 組織に 1 組織」で端末を遠隔操作するためのツールである Remote Access Tool（RAT）の活動が確認され、すでに標的型サイバー攻撃に侵入されてしまっていたことが分かっています。この傾向は標的型サイバー攻撃の事例が顕著だった2015年から変動することなく継続しており、表面化していないものの標的型サイバー攻撃は国内の法人組織にとって依然深刻な脅威となっています。

図：ネットワーク監視対象組織における標的型サイバー攻撃の検出割合（2017年、n=100）

(さらに…)

Edge および Chrome の不正な拡張機能を確認、バックドア活動によりユーザの情報を窃取

投稿日:2018年5月30日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

トレンドマイクロは、弊社も提携している、マルウェアや URL を分析する無料オンラインスキャンサービス「VirusTotal」を利用してマルウェアのテストを行っていると見られる一連のファイル提出活動を確認しました。ファイル名や提出元情報から、これは明らかにモルドバ共和国の同一のマルウェア開発グループによるテスト目的の提出だと推測されます。提出されたファイルは、Java または JavaScript で作成されたマルウェアをダウンロードおよび実行するダウンローダ「DLOADR（ディーローダ）」（「JS_DLOADR」および「W2KM_DLOADR」として検出）で、迷惑メールに添付した不正な文書ファイルを介して拡散することを意図していたようです。

DLOADR がダウンロードするマルウェア（「TROJ_SPYSIVIT.A」および「JAVA_ SPYSIVIT.A」として検出）は、感染 PC を乗っ取るために正規の「Remote Access Tool（RAT）」である「VisIT」をインストールします。さらには、ユーザが Edge または Chrome ブラウザ上で入力した情報をバックドア活動によって窃取する不正な拡張機能もインストールします。

正規 RAT の認証情報を窃取して悪用する手口は新しいものではなく、以前にも、マルウェア「TeamSpy」を拡散する迷惑メール送信活動で確認されています。TeamSpy は、正規リモートデスクトップツール「TeamViewer」を悪用し、感染 PC を遠隔から操作するマルウェアです。このように、「Chrome WebDriver」や「Microsoft WebDriver」のようなオープンソースツール、そして正規「Application Program Interface（API）」の悪用は、新しい手口ではないものの、依然として確かな脅威となっています。

(さらに…)

標的型サイバー攻撃キャンペーン「ChessMaster」の新しい戦略：変化を続けるツールと手法

投稿日:2017年11月10日
脅威カテゴリ:サイバー攻撃
執筆:Trend Micro

トレンドマイクロは、2017 年 7 月、本ブログにて標的型サイバー攻撃キャンペーン「ChessMaster」の諜報活動について解説しました。ChessMaster は、「ChChes」、「RedLeaves」、「PlugX（※1）」のような「Remote AccessTool（RAT）」をはじめ、さまざまなツールやマルウェアを利用し、主に日本の法人を標的として攻撃します。2017 年 9 月下旬、トレンドマイクロはChessMasterによる新しい活動を確認しました。利用されたツールと手口は注目すべき変化を遂げており、以前の攻撃では確認されていないものでした。弊社の調査によると、ChessMasterはオープンソースのツールと自ら開発したツールを利用し、おそらく攻撃者の特定を逃れるために、その手法を変化させ続けています。ChessMasterによる攻撃キャンペーンのこれまでの経緯を踏まえると、今後もさらなる変化が予想されます。

(さらに…)

Page 1 of 212