トレンドマイクロは、警察を装う新たな「身代金要求型不正プログラム(ランサムウェア)」を確認しました。このランサムウェアは、感染ユーザの場所に応じて、その国の言語で話す音声を流します。
続きを読むランサムウェアが近年、注目を浴びてきている。ランサムウェアとは一般に、感染するとユーザのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける、いわば身代金要求型不正プログラムである(ランサム = 身代金)。近ごろは、これに偽セキュリティソフトを絡めた多重アプローチが見られるようになり、より手の込んだ不正活動が目立つようになってきた。
今回は、ランサムウェアとしての代表的な動作であり、今年に入り確認された「TROJ_FAKEALE.BG」を例に、その全体像をご紹介する。
続きを読むクラウドベースのシステムが企業の業務やインフラでの重要な構成要素となる中、攻撃者はクラウド環境に目をつけ、クラウド環境の脆弱性を突いてさまざまな攻撃を仕掛けています。その種類は、情報窃取、諜報活動、DDoS攻撃など、多岐に及びます。
最近の傾向としては、クラウドのリソース、特にクラウドインスタンスのCPUを利用して暗号資産をマイニングする攻撃グループが増加しています。なお、CPUマイニングに適したリターンが得られる暗号通貨として現在では「モネロ」が好まれています。この傾向については、トレンドマイクロのリサーチペーパー「浮遊する戦場:クラウドを狙う暗号資産マイニング活動の脅威」で詳しく説明しています。
続きを読むボット型マルウェア「EMOTET」はサイバーセキュリティ業界でその名を馳せています。EMOTETを背後で操るオペレータが、スパムメールを使ってシステムを侵害した後、それらのシステムへのアクセス権を販売することに成功した為です。これはマルウェアをサービスとして提供する悪名高い手口「Malware as a Service(MaaS)」の一環として、MaaS利用者の不正ペイロードをEMOTETに配信させることで実施されました。バンキングマルウェア「Trickbot」や、ランサムウェア「Ryuk」/「Conti」などの悪名高い脅威の背後にいるオペレータは、自身の攻撃活動にEMOTETを用いた攻撃者グループの1つです。
続きを読む本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。トレンドマイクロが観測したマルウェアについて、その機能や特徴を定義するため、MITRE ATT&CK TTPs(Tactics、Techniques、Procedures)を用いました。
本調査より、IoT Linuxマルウェアは、特にIoTボットネットを構築するものについて、継続的に進化していることが分かりました。時間とともに実装する機能の追加、または、削除が見られます。とりわけ、データ送出や水平移動(ラテラルムーブメント)の機能ではなく、局所集中型の感染を引き起こす機能の進化に力が向けられる傾向があります。
表1に、トレンドマイクロが収集したマルウェア関連データの中で、最も多く実装されている機能やテクニックの上位10個を示します。
ATT&CK Tactic | Technique (TTP) |
マルウェア ファミリ数 |
Discovery(探索) | T1083:File and Directory Discovery(ファイルとディレクトリの探索) | 10 |
Command and Control(コマンド・コントロール) | T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル: Webプロトコル) | 9 |
Initial Access(初期アクセス) | T1133:External Remote Services (外部リモートサービス) | 8 |
Execution(実行) | T1059.004:Command and Scripting Interpreter: Unix Shell(コマンド・スクリプトインタプリタ: Unixシェル) | 7 |
---|---|---|
Impact(影響) | T1498.001:Network Denial of Service: Direct Network Flood(サービス拒否・直接フラッド攻撃) | |
Credential Access(認証情報アクセス) | T1110.001:Brute Force Password Guessing(ブルートフォースパスワード推定) | 6 |
Discovery(探索) | T1057:Process Discovery(プロセス探索) | |
Execution(実行) | T1106:Native API(ネイティブAPI) | 5 |
Impact(影響) | T1486:Data Encrypted for Impact(データ暗号化) | |
Defense Evasion(防御回避) | T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除) | 4 |
Lateral Movement(水平移動・内部活動) | T1210:Exploitation of Remote Services(リモートサービス不正使用) | |
Persistence(永続化) | T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron) |
情報やデータへのアクセスおよびワークフローの継続性を求めて、ユーザや組織がInternet of Things(IoT)をますます頼りにする中、IoTへの脅威も進化し続けています。サイバー犯罪者は世の中におけるIoTへの依存性に注目しており、現代では家庭とビジネスの両方において、ユーザがこれらのデバイスでファイルの保存やバックアップを行っていることから、ネットワーク接続型ストレージ(NAS)デバイスを攻撃の対象に含めています。さらに重要なことは、これらのツールには貴重な情報が含まれているが、最小限のセキュリティ対策しか講じられていないことをサイバー犯罪者が認識しているという点です。
続きを読むトレンドマイクロでは、Javaの開発環境で使用可能なフレームワークSpring Frameworkの脆弱性「Spring4Shell」(CVE-2022-22965)が悪用され、ボットネットマルウェア「Mirai」による攻撃が可能であることを確認しました。攻撃者は、Mirai本体を「/tmp」フォルダにダウンロードし、「chmod」により権限変更をした上で攻撃の実行が可能となります。
トレンドマイクロでは、このような活動を2022年4月上旬から確認していました。また、利用されるマルウェアのファイルサーバには、異なるCPUアーキテクチャ向けの別の亜種が存在することも判明しています。
本稿では、入手した検体に基づき、脆弱性悪用、検出の経緯、解析結果、修正パッチ、潜在的なリスクおよび実際の適用例などについて説明します。最後のセクションでは、これらのリスクを軽減する方法について推奨事項を記載しています。
続きを読むイギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
続きを読む