本ブログ記事では、トレンドマイクロが最近調査したASPX Webシェル「Chopper」(本記事紹介の事例に関連する検体は「Backdoor.ASP.WEBSHELL.UWMANA」として検出)を利用した標的型攻撃の手法について解説します。この事例ではWebシェルの設置に、Microsoft Exchange Server の脆弱性が利用されたものと推測しています。
続きを読む2020年2月23日、VMware社は「CVE-2021-21972」、「CVE-2021-21973」、「CVE-2021-21974」の脆弱性に対処するアドバイザリ「VMSA-2021-0002」を公開しました。2020年第4四半期頃、VMware社のソフトウェア「VMware ESXi」のプラットフォームにおいて「事前認証によるリモートコード実行を行う」という深刻度の高い2件の脆弱性が確認されました。これらの脆弱性は、いずれも同一のコンポーネントである「Service Location Protocol(SLP)」サービス内に存在しており、1つは「use-after-free(UAF)」、もう1つは「ヒープオーバーフロー」が原因でした。2020年10月、VMware社は修正パッチをリリースしましたが、修正が迂回される可能性が判明したため、2020年11月に2回目の修正パッチをリリースすることで、「CVE-2020-3992」が割り当てられた「UAF」の脆弱性に対し、完全に対応しました。そして今回のアドバイザリで触れられている修正パッチで「CVE-2021-21974」が割り当てられた「ヒープオーバーフロー」の脆弱性に完全に対処しました。
このブログ記事では「CVE-2020-3992」と「CVE-2021-21974」の2つの脆弱性に注目し、「CVE-2021-21974」のヒープオーバーフローがどのようにしてコード実行に利用されたかを解説します。また、この脆弱性利用をする動作に関する簡単な動画もご確認ください。
図1:「VMware ESXi」上で事前認証によるリモートコード実行を行う脆弱性
「CVE-2021-21974」に関する動画
30年前に個人のプロジェクトとして始まったLinuxは、現在では世界中のクラウドプラットフォームやサーバを席巻する主要なオペレーティングシステム(OS)のひとつとなっています。実際に、現在Microsoft独自のクラウドプラットフォームであるAzure上ではLinuxの利用率がWindowsを上回っています。
また、Linuxは環境に依存せず利用できるOSと言えます。Linux Foundationの「2017 State of Linux Kernel Development Report」によると、Linuxはパブリッククラウドのワークロードの90%と、上位10社のパブリッククラウドプロバイダのうち9社で稼働しています。その上、Linuxは世界のスマートフォンの82%で動作し、スーパーコンピュータ市場では99%という巨大な市場シェアを持っていました。
しかしながら、他のソフトウェアと同様に、Linux にもセキュリティの脅威やリスクがないわけではありません。企業がクラウドに移行し、結果的に Linux に移行していく中で、サイバー犯罪者がその焦点とリソースを変えてこれらの環境を標的にして悪用するのは当然のことであると言えるでしょう。
本記事では、Linux の脅威概況について解説し、Linux がいかにして攻撃者にとって魅力的な攻撃対象となっているのか、また、Linux がどのようにして様々な脅威やリスクに晒されるかを調査しました。該当する脅威やリスクには、脆弱性、誤設定、セキュリティギャップ、マルウェアなどが含まれます。本記事では、昨今のLinuxに影響を与えるセキュリティの問題点と脅威の概要を説明した上で、Linux環境を脅威から保護しリスクを軽減するために必要なセキュリティのベストプラクティスを紹介します。
続きを読むトレンドマイクロの2021年セキュリティ脅威予測では、サイバー犯罪者が新型コロナウイルス(COVID-19)に便乗した攻撃活動を2021年も継続すると予測しています。これはコロナ禍の影響によりオンラインショッピングの利用者やECサイト上での決済サービスの使用頻度が増加し電子商取引への依存度が高まったことに加え、金融支援の必要性が増大したことにも起因します。サイバー犯罪者はこれらの状況を利用してネット利用者を誘導し、重要情報などを詐取しようを試みます。認証情報やカード情報を詐取する新たな手口が日々生み出されている中で、古くから存在し巧妙化を続ける脅威もいまだに多く利用されています。本ブログ記事では、2020年12月下旬から2021年1月の第1週までに海外で観測されたいくつかのフィッシングキャンペーンの動向を解説します。
続きを読むトレンドマイクロは2020年5月以降、企業の経営幹部を標的とする高度化したフィッシングキャンペーンの追跡調査を行なっています。攻撃者はWebサイトを侵害してフィッシングサイトを構築し、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的に攻撃を行なっています。弊社が調査を行った時点でこの攻撃に関連する300以上のフィッシングサイトのURLを確認し、さらに8つのフィッシングサイトからは約70の被害者のメールアドレスと盗まれたパスワード情報を発見しました。トレンドマイクロでは国際刑事警察機構(INTERPOL)に情報提供を行うと同時に、協力してさらなる調査を進めています。本記事では、本フィッシングキャンペーンの手口や背後に潜む攻撃者・開発者について調査した結果をご紹介します。
続きを読むトレンドマイクロでは最近、サイバー犯罪集団「OceanLotus」に関連すると考えられる新しいバックドア型マルウェアを発見しました。今回新亜種に備わった追加機能の一部(トレンドマイクロでは「Backdoor.MacOS.OCEANLOTUS.F」として検出)には、新しい動作およびドメイン名が含まれています。本記事執筆時点では、本検体は他のマルウェア対策ソフトでは未検出となっています。
今回確認された検体は、動的な動作およびコードの類似性により、以前確認された検体の亜種であることが判明しました。
図1:以前確認されたOceanLotusの不正コード (さらに…)
続きを読む