トレンドマイクロでは、2021年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。攻撃者は標的組織が持つセキュリティ上の弱点を見逃さず、彼らにとって最も適した攻撃手法を用いて侵入を試みます。
2021年7月28日、米国土安全保障省傘下のCybersecurity and Infrastructure Security Agency (CISA)は、2020年と2021年に悪用された脆弱性の上位を詳述した報告書を公開しました。 報告書によると、攻撃者が狙う新しい標的は、2019年以降に公開されたテレワーク(リモートワーク)、VPN(Virtual Private Network)、そしてクラウドベースの技術に関連する脆弱性です。新型コロナウイルスによってクラウド化が進むとともにサイバー攻撃者もターゲットをクラウドに移動しています。攻撃者はテレワークに関連したパッチ未適用の新しい脆弱性を狙い、防御する側は定期的なパッチの適用に奮闘してきました。攻撃者が脆弱性の悪用に成功すると、リモートコード実行(RCE)、任意のコード実行、パストラバーサルなどの手法により対象システムがコントロールされることになります。
続きを読む本ブログでは、ランサムウェア「Cring」の攻撃が国内で拡大する状況であったことを、2021年5月の記事でお伝えしました。その際のCringの攻撃活動では初期アクセスを取得するために、安全性の低いリモートデスクトップ(RDP)機能、または仮想プライベートネットワーク(VPN)の脆弱性が悪用されていました。そして今回、CringはWebアプリケーションサーバ「Adobe ColdFusion 9」(11年前のバージョン)に内在する脆弱性を突く攻撃に用いられた脅威として再び注目されており、トレンドマイクロでもその攻撃を確認しました。本ブログ記事では、Cringの攻撃手法で用いられている技術および最も被害を受けている地域・業界について報告いたします。トレンドマイクロ製品では、Cring本体の実行ファイルを「Ransom.Win32.CRING.C」などとして、C#ベースで作成されたCringの検体を「Ransom.MSIL.CRYNG.A」などとして検出します。
■ Cring攻撃で用いられる技術
図1:Cring攻撃の感染チェーン
続きを読むの例.png)
今回トレンドマイクロは、個人向けVPNサービス「Windscribe VPN」の正規インストーラを侵害しバックドア型マルウェアをバンドルする攻撃手口を確認しました。バックドアを用いることでサイバー犯罪者は、適切な認証なしに遠隔からコンピュータにアクセスして制御できるようになります。今回調査された正規インストーラは不正ソースからダウンロードされたものであり、Windscribeの公式ダウンロードセンター、あるいはGoogleやAppleなどのアプリストアで配布されたものでないことに注意が必要です。特にサイバー犯罪者は以前よりビデオ会議アプリなどの他のプラットフォーム上でユーザを誘導するために、正規インストーラに不正ファイルをバンドルする手法を悪用していました。
続きを読む
