トレンドマイクロでは最近、サイバー犯罪集団「OceanLotus」に関連すると考えられる新しいバックドア型マルウェアを発見しました。今回新亜種に備わった追加機能の一部(トレンドマイクロでは「Backdoor.MacOS.OCEANLOTUS.F」として検出)には、新しい動作およびドメイン名が含まれています。本記事執筆時点では、本検体は他のマルウェア対策ソフトでは未検出となっています。
今回確認された検体は、動的な動作およびコードの類似性により、以前確認された検体の亜種であることが判明しました。
図1:以前確認されたOceanLotusの不正コード (さらに…)
続きを読む前回記事ではアンダーグラウンドマーケットで取引されるインフラについて説明しました。それらのインフラの中でも、防弾ホスティング(BPH)サービスは、長きにわたりサイバー犯罪インフラを保護する重要な要素としてサイバー犯罪者に利用されています。これらのサービスは、サイバー犯罪者の不正活動をどのように保護しているのでしょうか。また、サイバー犯罪者はどのように防弾ホスティングサービスを利用してビジネスを継続しているのでしょうか。
多くのサイバー犯罪活動には、ある程度の組織、計画、およびその背後に存在する個人またはグループの技術的洞察を反映する何らかの形の活動基盤があります。アンダーグラウンドで提供されるインフラを利用することは、サイバー犯罪者が不正活動を遂行する上で必要不可欠のものです。弊社トレンドマイクロは、サイバー犯罪を幇助する情報が闇市場で取引される方法や提供されるサービスの種類について別々のホワイトペーパーにまとめて公開したのち、本ブログでも概説しました。本ブログ記事では、サイバー犯罪者がサーバなどの資産を不正に確保し、ビジネスで生き残るために採用する手口について解説します。
サイバー犯罪者は、マルウェアやエクスプロイトキットなどアンダーグラウンドで日常的に取引される商品に加えて、すべてのサイバー犯罪活動を支える安定したホスティングインフラを維持することにも注力しています。これらのインフラは、サイバー犯罪者が用いるインフラの匿名性を高めて稼働させる防弾ホスティング、感染PC端末で構築されたレンタル用ボットネット、あるいはそれらを操作・制御するために必要な不正コンテンツやコンポーネントをホストするために利用される場合があります。
サイバー犯罪者間で行われる取引方法は、多くの点において正規企業が用いるそれと似ています。闇市場での取引経験の有無に関係なくサイバー犯罪者は、さまざまなプラットフォーム上で商品を取引しています。商品を取引する場所としてソーシャルメディアを利用する者もいれば、他のサイバー犯罪者の管理下にあるWebサイトでのみ取引を行う者、あるいは精査されたアンダーグラウンドフォーラムでのみ取引する者もいます。
トレンドマイクロは2020年10月6日公開のブログ記事で、サイバー犯罪者が不正活動に用いるサービスやインフラ、ツールを取引するアンダーグラウンドマーケットの概要について報告しました。取引される商品はさまざまであり、商品の売り手側は、買い手側のあらゆる要望に応えています。本ブログ記事では、サイバー犯罪経済動学、つまりアンダーグラウンドで提供されるサービスや特定のサイバー犯罪者が欲するアプリケーションに配慮して構築されるインフラについて詳説します。
トレンドマイクロでは最近、「Glupteba」の亜種(Trend Microでは「Trojan.Win32.GLUPTEBA.WLDR」として検出)を確認しました。Gluptebaは、過去にWindigo作戦に関与したバンキングトロジャンとして知られています。弊社ではまた、MikroTikルータへの攻撃や、自身のコマンド&コントロール(C&C)サーバへの更新に関して調査しました。今回確認されたバンキングトロジャンは、挙動に関して他の亜種との類似点を多く共有しています。前述の検体で特筆すべき点は、トレンドマイクロが最近解析したモジュール型アドウェアの一種「ManageX」(トレンドマイクロでは「Trojan.JS.MANAGEX.A」として検出)を使用していることです。本記事では、コード解析から判明したGluptebaのモジュール性とクロスプラットフォーム機能について解説します。
図1:攻撃の流れ (さらに…)
続きを読む本ブログの2020年8月31日の記事では、2020年上半期(1~6月)における国内外での脅威動向分析について報告しました。新型コロナウイルスのパンデミック(世界的大流行)による都市封鎖や外出自粛の影響により、多くの企業においてはテレワークが必要不可欠なものとなりました。この急速な変更に対応するため、公私両面でのコミュニケーションに不可欠なツールとしてメッセージングアプリやビデオ会議アプリの需要が一気に高まりました。これらのアプリは、企業に従業員間のコミュニケーションを維持するための手段を提供しましたが、不正活動に新たな技術を統合しようと企てるサイバー犯罪者の関心を引く結果ともなりました。 (さらに…)
続きを読む本ブログ記事では、新たに確認されたInternet Explorer(IE)の脆弱性「CVE-2020-17053」について解説します。トレンドマイクロはこれまでもIE内に存在する脆弱性の解析結果について報告しています。2020年8月には、IEの実行時コンパイラ(JITエンジン: Just-In-Time Engine)の型推論によるエラーが、ゼロデイ脆弱性「CVE-2020-1380」をどのように引き起こしたかについて解説しました。このゼロデイ脆弱性は、ArrayBufferを無効にすることで悪用可能となり、メモリ解放後使用(Use-After-Free、UAF)の脆弱性をもたらします。弊社は、この脆弱性の根本原因を解析しているときに、同様の脆弱性をトリガーする別の方法を見つけました。この方法ではJITエンジンは必要がないため、「CVE-2020-17053」とは別の脆弱性と判断されました。このセキュリティ上の弱点(バグ)は、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative(ZDI)」により2020年9月にMicrosoft社に提出されました。脆弱性としてCVE-2020-17053が割り当てられ、Microsoftは11月にリリースされた月例セキュリティパッチ「Patch Tuesday」にて修正を行いました。 (さらに…)
続きを読むトレンドマイクロでは、2019年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。トレンドマイクロのネットワーク監視の中では、毎月約1割の監視対象に対してネットワーク侵入の危険性高として警告が行われています。
図:ネットワーク監視における脅威兆候の検出有無と侵入危険度高判定の割合(監視対象100組織中) (さらに…)
続きを読む
