iOSのURLスキームを乗っ取る攻撃手法について解説

投稿日:2019年7月26日
脅威カテゴリ:脆弱性, 攻撃手法
執筆:Trend Micro

AppleはiOSのサンドボックス機構を使用して各アプリケーションがアクセス可能なリソースを制限し、アプリケーションのセキュリティとプライバシーを管理しています。この仕組みは、あるアプリが侵害された際に被害の範囲を制限するためのもので、App Storeを通して配布されているすべてのアプリによって採用されています。

このようなアクセス制御はアプリ間の通信を困難にしますが、Appleは慎重に設計されたいくつかの仕組みによってそれを補助しています。中でも最も一般的なものは「URLスキーム」です。基本的に、URLスキームはあるアプリから別のアプリに情報を伝達する仕組みです。例えば、あるアプリで「facetime：//」から始まるURLを開いた場合、URLスキームによりビデオ通話アプリ「Face Time」が起動して通話を開始します。URLスキームを使用したこのようなショートカットは非常に便利ですが、アプリ間通信のために設計されたこの仕組みにはセキュリティ上の不備がありました。

本記事では、URLスキームを悪用したアカウントの侵害、請求詐欺、ポップアップ広告の表示といった攻撃の可能性について考察します。具体的には、中国の公式iOSアプリの中から、メッセージングおよびモバイル決済アプリ「WeChat」と買い物アプリ「Suning」を例として取り上げ攻撃シナリオを解説しました。WeChatやSuningと同様の機能を持つその他の多くのアプリも本記事で解説する攻撃に対して脆弱である可能性があります。トレンドマイクロは、そのようなアプリのベンダに通知を行い協働しました。特にWeChatの脆弱性については、弊社が運営する脆弱性発見・研究コミュニティ「Zero Day Initiative（ZDI）」に報告しています。

(さらに…)

正規アプリを置き換えて不正に広告を表示するAndroidマルウェア「Agent Smith」

アドウェアを利用しモバイル広告で収益を得ようとするサイバー犯罪者の動きについては７月16日のブログ記事でも報告しています。同様に、不正に広告を表示するモバイルマルウェアの新種である「Agent Smith（エージェント・スミス）」に関する調査結果を、セキュリティ企業「Check Point」が2019年7月10日に公表しています。この報告では、インド、サウジアラビア、パキスタン、バングラデシュ、イギリス、アメリカ合衆国、そしてオーストラリアを中心に、約2,500万台ものデバイスが感染したとされています。この「Agent Smith」はトレンドマイクロでは現在「AndroidOS_InfectionAds.HRXA」として検出するものであり、このマルウェアを含む攻撃キャンペーンについては「Operation Adonis」と命名し調査していたものでした。この命名は、この攻撃で使用された多くのマルウェアで使用された証明書に”Adonis”の文字列が含まれていたことに由来しています。このマルウェアはオペレーティングシステム（OS）内に存在するAndroidの脆弱性を利用し、インストール済のアプリをユーザに知られずに不正なバージョンに置き換えることでAndroidデバイスに感染します。このマルウェアはユーザのデバイスに金銭的利益を目的とする不正な広告を表示しますが、この他にも銀行口座情報の窃取や攻撃の対象となったユーザの監視など、より直接的な被害につながる攻撃に活用される可能性があると見られます。
(さらに…)

Android端末向けバンキングトロジャン「Anubis」が再登場、17,000個以上の検体を確認

トレンドマイクロは、2018年のモバイルの脅威動向において、オンライン銀行詐欺ツール（バンキングトロジャン）が検出回避とさらなる収益化を目的として戦略と手法を多様化していることを報告しました。Android端末向け不正アプリ「Anubis」の場合、通常のバンキングトロジャンでは見られないようなその他の不正活動のための機能も備えています。初めてAnubisが確認されて以来、サイバー諜報活動を目的とした使用から、情報窃取とランサムウェアのような機能を組み合わせたバンキングマルウェアへの変化まで、Anubisにはいくつかの変更が施されました。2019年1月中旬には、サンドボックス解析を回避するためのモーションセンサの利用や個人情報（Personally Identifiable Information、PII）を窃取するオーバーレイ画面など、Anubisが多数の手法を使用したことが確認されました。
(さらに…)

「SLUB」の新しいバージョンを確認、「GitHub」の利用を停止し「Slack」のみをC&C通信に利用

投稿日:2019年7月17日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

トレンドマイクロは2019年2月下旬、新種のバックドア型マルウェアを確認し、「SLUB」と名付けて3月14日の記事で解説しました。当時確認されたバージョンのSLUBは、VBScriptエンジンの脆弱性「CVE-2018-8174」を利用した水飲み場型攻撃で拡散し、リポジトリホスティングサービス「GitHub」とコミュニケーションプラットフォーム「Slack」を悪用してコマンド&コントロール（C&C）通信を行っていました。

2019年7月9日、新しいバージョンのSLUBが別のWebサイトを利用した水飲み場型攻撃によって拡散されていることが確認されました。この水飲み場型攻撃サイトは、Internet Explorer（IE）の遠隔からのコード実行（Remote Code Execution、RCE）脆弱性「CVE-2019-0752」を利用します。CVE-2019-0752はトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative（ZDI）」によって発見された脆弱性で、2019年4月に修正プログラムが公開されています。今回の攻撃はCVE-2019-0752の利用が確認された初めての事例です。
(さらに…)

ゲームおよびカメラアプリに偽装したアドウェア111個をGoogle Playで確認

広告費においてモバイル広告が占める割合は年々増加しており、米国における2019年のモバイル広告支出は160億米ドル（2019年7月16日時点で約1兆7000億円）を超えると推定されています。この傾向に伴って、サイバー犯罪者も、ますます巧妙な手法を使用するアドウェアを介して不正に利益を得ようとし続けるでしょう。
(さらに…)

高度な標的型攻撃ツールが仮想通貨発掘ツールの拡散に利用されていることを確認

投稿日:2019年7月11日
脅威カテゴリ:サイバー犯罪, 攻撃手法
執筆:Trend Micro

通常のサイバー犯罪者は、標的型攻撃の手口、より具体的には一連のツールを模倣し、計算能力を盗用して仮想通貨を発掘する「クリプトジャッキング」のような違法行為から生まれる利益を最大化していると見られています。
(さらに…)

サイバー攻撃キャンペーン「ShadowGate」が活動を再開、新バージョンの「Greenflash Sundown EK」を利用

サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール（エクスプロイトキット、EK）「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。

図1：「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ

本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。

(さらに…)

露出したDocker APIを介してコンテナに侵入するボット型マルウェア「AESDDoS」について解説

投稿日:2019年7月9日
脅威カテゴリ:サイバー犯罪, 攻撃手法
執筆:Trend Micro

企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種（「Backdoor.Linux.DOFLOO.AA」として検出）を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)

サイバー犯罪集団「TA505」によるスパムメール送信活動で新しいマルウェア「Gelup」と「FlowerPippi」を確認

投稿日:2019年7月8日
脅威カテゴリ:スパムメール, サイバー犯罪
執筆:Trend Micro

サイバー犯罪集団「TA505」に関する最新の調査以来、ここ数週間にわたってさまざまな国を狙う同集団の活動が確認されています。TA505は、アラブ首長国連邦（UAE）やサウジアラビアのような中東の国、インド、日本、アルゼンチン、フィリピン、そして韓国のようなその他の国を狙っていることが判明しました。

本記事では、TA505の活動に関する新しい情報と侵入の痕跡（Indicators of Compromise、IoCs）、最新の手口、そして特に2019年6月に確認された活動の手順について解説します。また、今回新しく確認された2つのマルウェアの解析も行いました。

「Gelup」（「Trojan.Win32.GELUP.A」として検出）は6月20日の活動で利用されました。このマルウェアは「ユーザーアカウント制御（UAC）」を回避し、その他の脅威を読み込むローダとして機能します。また、以前の活動で利用された遠隔操作ツール（Remote Access Tool、RAT）「FlawedAmmyy RAT」と同じパッカーを使用しています。「FlowerPippi」（「Backdoor.Win32.FLOWERPIPPI.A」として検出）は、日本、インド、そしてアルゼンチンを狙った活動で利用が確認された新しいバックドア型マルウェアです。GelupおよびFlowerPippiに関する、感染の流れやコマンド&コントロール（C&C）通信を含む詳細な解析結果は技術的概要を参照してください。

(さらに…)

ハッキング集団「Outlaw」のボットネットを確認、仮想通貨発掘ツールとPerlベースのバックドアを拡散

トレンドマイクロが設置したハニーポットのひとつが、Perlベースのバックドアコンポーネントをバンドルした仮想通貨「Monero」発掘ツールを含むボット型マルウェアを拡散するURLを確認しました。採用された技術は、ハッキング集団「Outlaw」の以前の活動で使用された技術とほぼ同じであるため、これはとても興味深い発見であると弊社は認識しています。
(さらに…)

Page 2 of 212 ‹ 123 › »