ホーム » Slack

「SLUB」の新しいバージョンを確認、「GitHub」の利用を停止し「Slack」のみをC&C通信に利用

投稿日:2019年7月17日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

トレンドマイクロは2019年2月下旬、新種のバックドア型マルウェアを確認し、「SLUB」と名付けて3月14日の記事で解説しました。当時確認されたバージョンのSLUBは、VBScriptエンジンの脆弱性「CVE-2018-8174」を利用した水飲み場型攻撃で拡散し、リポジトリホスティングサービス「GitHub」とコミュニケーションプラットフォーム「Slack」を悪用してコマンド&コントロール（C&C）通信を行っていました。

2019年7月9日、新しいバージョンのSLUBが別のWebサイトを利用した水飲み場型攻撃によって拡散されていることが確認されました。この水飲み場型攻撃サイトは、Internet Explorer（IE）の遠隔からのコード実行（Remote Code Execution、RCE）脆弱性「CVE-2019-0752」を利用します。CVE-2019-0752はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative（ZDI）」によって発見された脆弱性で、2019年4月に修正プログラムが公開されています。今回の攻撃はCVE-2019-0752の利用が確認された初めての事例です。
(さらに…)

拡大する正規ツールによる隠蔽手口、マルウェアによる「Slack」の悪用を初確認

投稿日:2019年3月14日
脅威カテゴリ:不正プログラム
執筆:Trend Micro Cyber Safety Solutions Team

トレンドマイクロは、2019年2月下旬、新しいバックドア型マルウェア「SLUB」を送り込み感染PCから情報を窃取する攻撃を確認しました。この攻撃は、改ざんしたWebサイトに攻撃コードを仕込む「水飲み場型攻撃」によって対象PCを感染させ、リポジトリホスティングサービス「GitHub」およびコミュニケーションプラットフォーム「Slack」を利用してコマンド＆コントロール（C&C）通信を行います。SLUBは、感染PCから収集したファイルを、ファイル共有サービス「file.io」を利用して攻撃者に送信します。トレンドマイクロがSLUBを確認した時点で、このマルウェアは一般的にはまだ存在を認識されていないようでした。チャットプラットフォームが悪用される可能性については以前から指摘していましたが、Slackの悪用が確認されたのは今回が初めてです。

調査によって判明した「戦略、技術、手法（Tactics, Techniques and Procedures、TTP）」から、今回の攻撃は、通常のサイバー攻撃ではなく、有能な攻撃者によって実行された隠ぺい性の高い標的型攻撃だと考えられます。トレンドマイクロは、問題の脅威についてすぐにカナダのCSIRT（Computer Security Incident Response Team）である「Canadian Centre for Cyber Security」に通知しました。同センターは水飲み場型攻撃に利用されたWebサイトの運営者に注意喚起し、この脅威への対処を支援しました。

■水飲み場型攻撃と脆弱性の利用による感染の流れ

図1は水飲み場型攻撃による感染の流れを図示したものです。

図1：感染の流れ

(さらに…)

ビジネス・チャット・ツールの API を C&C サーバとして利用する脅威が拡大？

投稿日:2017年6月8日
脅威カテゴリ:攻撃手法
執筆:Senior Threat Researchers - Stephen Hilt and Lord Alfred Remorin

ビジネス・チャット・ツールのAPIをC&Cサーバとして利用する脅威が拡大？

日本でも多くの企業がビジネス・チャット・ツールを導入しています。本記事では、サードパーティ製ビジネスチャットプラットフォームが提供する「ApplicationProgram Interface（API）」をコマンド&コントロール（C&C）サーバとして利用する脅威について解説します。

(さらに…)