トレンドマイクロでは最近、シリア電子政府サイト上に掲載された悪意あるAndroidマルウェアのサンプルに関する調査を実施しました。トレンドマイクロでは攻撃者グループ「StrongPity(別名:PROMETHIUM)」の犯行の可能性が高いと考えています。また、弊社の知る限り、同グループが攻撃の一環としてAndroid向け不正アプリを使用していることが確認されたのは、今回が初めてです。
本ブログ記事では、Androidマルウェアに関連した同グループの攻撃の戦術・技術・手順(TTP)および今回の攻撃活動の帰属が攻撃者グループ「StrongPity」であると判断した理由について取り上げます。
続きを読むカナダ・トロント大学のセキュリティ研究所「Citizen Lab」は、バーレーンの活動家9人に対して使用された高度なiPhone向けエクスプロイト(脆弱性攻撃ツール)の詳細についてレポートを発表しました。このレポートでは、これらの活動家がハッキングされた際に、イスラエル企業「NSO Group」が開発したスパイウェア「Pegasus」を用いてゼロクリックで実行可能な2つのiMessage用エクスプロイトが悪用されていたことが報告されています。今回の攻撃活動で悪用されたエクスプロイトは、2020年に確認された「Kismet」および2021年に確認された「ForcedEntry」です。ゼロクリック攻撃は、一般的なマルウェアとは異なり、デバイスに感染するためにユーザの操作を必要としないことから、高度な脅威に位置づけられています。特に後者のForcedEntryエクスプロイトは、このようなゼロクリック攻撃の侵入活動からユーザを保護するためにAppleが設計したBlastDoorなどのセキュリティ保護機能を回避できるため、注目に値します。
続きを読むトレンドマイクロでは最近、クラウド上での暗号資産(旧仮想通貨)マイニングアプリを装ったモバイル詐欺アプリを8件検出しました※。アプリの説明によると、ユーザはクラウド上でのマイニングに投資し、暗号資産を獲得することができるとされています。しかし、実際にアプリを解析してみると、このアプリはマイニング機能向上と称して広告へと誘導し、月額平均15USドル程度の定期購読サービスに加入させるだけであることが分かりました。弊社が調査結果をGoogleに報告すると、当該アプリはPlay Storeから直ちに削除されました。
※弊社ではAndroidOS_FakeMinerPay および AndroidOS_FakeMinerAとして検出します。
続きを読む前回のMicrosoftの9月分セキュリティアップデート解説に続き、今回はAdobe、Apple、Google Chromeのアップデートについて解説します。
トレンドマイクロでは、2020年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。組織のネットワークに侵入する標的型攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。
図:ネットワークに侵入する標的型攻撃の攻撃段階概念図
続きを読むトレンドマイクロは、主に東南アジアにおいて実行された一連の標的型攻撃を発見し、「Earth Baku」と命名しました。そして更なる調査の結果、Earth Bakuと既存の攻撃者「APT41」との関連を発見しました。APT41は2012年頃から存在しているとされる攻撃者であり、過去には諜報活動のほか、ランサムウェアや暗号資産採掘ツール(コインマイナー)を用いた不正マイニングなどの攻撃活動を数多く実行しています。
続きを読む米国時間9月7日、Microsoft社はWindowsの複数のバージョンに影響を及ぼす新たなゼロデイ脆弱性の存在を明らかにしました。既にこの脆弱性(CVE-2021-40444)を悪用した攻撃として、不正なOffice 365ドキュメントを介した攻撃が確認されています。ただし、この攻撃が実行されるためにはユーザが「ドキュメントファイルを開く」ことが必要となります。なおMicrosoft社は、インターネットからダウンロードしたOfficeドキュメントの場合はデフォルトで「保護ビュー」、また環境によっては「Application Guard」機能により守られるため、今回の攻撃を防ぐことができる、と説明しています。しかし、保護ビューを解除した場合、またはApplication Guardが有効になっていない場合には、脆弱性が悪用され影響を受けた端末上で不正なファイルがダウンロードおよび実行されることになります。現在、この脆弱性を利用して商用のペネトレーションテストツール「Cobalt Strike」のペイロードを侵入させる攻撃を確認しています。この記事では、この脆弱性を悪用した攻撃手口および対策についてご紹介します。
続きを読むPrintNightmareは、Microsoft Windowsの印刷スプーラーの脆弱性「CVE-2021-1675」「CVE-2021-34527」「CVE-2021-34481」「CVE-2021-36958」です。これは、印刷スプーラーサービスにおいてリモートおよびローカルの両方で任意のコードが実行される脆弱性であり、同サービスを実行しているすべてのWindowsのバージョンに影響します。多くのリサーチャは、異なる実装(TCPまたはSMB上)に基づくさまざまなProof of Concept(PoC、概念実証型エクスプロイト)を考案しました。Print System Asynchronous Remote Protocol(MS-PAR)のさまざまな関数呼び出しを用いてRpcAsyncAddPrinterDriverを悪用することで、サーバまたはワークステーション上でPrintNightmareが悪用される可能性があります。また、一方でPrint System Remote Protocol(MS-RPRN)を悪用することで、PrintNightmareはRpcAddPrinterDriverExを悪用してimpacketを実装する可能性があります。
本ブログ記事では、PrintNightmare用エクスプロイトおよびパッチ開発に関する時系列について概説すると共に、脆弱性「PrintNightmare」を悪用した攻撃手口の流れを解説し、印刷スプーラーサービスなどのシステム内に見られる重大なセキュリティ上の欠陥(バグ)がもたらすリスクを軽減するための推奨事項をお伝えします。
続きを読む
