トレンドマイクロは、2018年のモバイルの脅威動向において、オンライン銀行詐欺ツール(バンキングトロジャン)が検出回避とさらなる収益化を目的として戦略と手法を多様化していることを報告しました。Android端末向け不正アプリ「Anubis」の場合、通常のバンキングトロジャンでは見られないようなその他の不正活動のための機能も備えています。初めてAnubisが確認されて以来、サイバー諜報活動を目的とした使用から、情報窃取とランサムウェアのような機能を組み合わせたバンキングマルウェアへの変化まで、Anubisにはいくつかの変更が施されました。2019年1月中旬には、サンドボックス解析を回避するためのモーションセンサの利用や個人情報(Personally Identifiable Information、PII)を窃取するオーバーレイ画面など、Anubisが多数の手法を使用したことが確認されました。
(さらに…)
サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。
![図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ](https://blog.trendmicro.co.jp/wp-content/uploads/2019/07/fig1_shadowgate-infection-chain.png)
図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ
本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。
続きを読む企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.DOFLOO.AA」として検出)を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)
サイバー犯罪集団「TA505」に関する最新の調査以来、ここ数週間にわたってさまざまな国を狙う同集団の活動が確認されています。TA505は、アラブ首長国連邦(UAE)やサウジアラビアのような中東の国、インド、日本、アルゼンチン、フィリピン、そして韓国のようなその他の国を狙っていることが判明しました。
本記事では、TA505の活動に関する新しい情報と侵入の痕跡(Indicators of Compromise、IoCs)、最新の手口、そして特に2019年6月に確認された活動の手順について解説します。また、今回新しく確認された2つのマルウェアの解析も行いました。
「Gelup」(「Trojan.Win32.GELUP.A」として検出)は6月20日の活動で利用されました。このマルウェアは「ユーザー アカウント制御(UAC)」を回避し、その他の脅威を読み込むローダとして機能します。また、以前の活動で利用された遠隔操作ツール(Remote Access Tool、RAT)「FlawedAmmyy RAT」と同じパッカーを使用しています。「FlowerPippi」(「Backdoor.Win32.FLOWERPIPPI.A」として検出)は、日本、インド、そしてアルゼンチンを狙った活動で利用が確認された新しいバックドア型マルウェアです。GelupおよびFlowerPippiに関する、感染の流れやコマンド&コントロール(C&C)通信を含む詳細な解析結果は技術的概要を参照してください。
続きを読むトレンドマイクロが設置したハニーポットのひとつが、Perlベースのバックドアコンポーネントをバンドルした仮想通貨「Monero」発掘ツールを含むボット型マルウェアを拡散するURLを確認しました。採用された技術は、ハッキング集団「Outlaw」の以前の活動で使用された技術とほぼ同じであるため、これはとても興味深い発見であると弊社は認識しています。
(さらに…)
2月28日のブログ記事において、日本国内で確認された古いExcel4.0マクロを利用した攻撃について報告しました。この攻撃の背後には特定のサイバー犯罪者集団の存在が推測されていますが、トレンドマイクロでは過去2ヶ月間に行われた同一のサイバー犯罪者集団によるものと考えられる新たな攻撃を徹底的に追跡し、様々な攻撃手法を確認しました。このサイバー犯罪者集団はさまざまなマルウェアを利用して複数の金融機関や小売企業を狙った攻撃を続けており、セキュリティ企業「Proofpoint」によって「TA505」と名付けられた集団と同一と考えられます。最新の活動では主に韓国のユーザに狙いを定め、HTML形式の添付ファイルを使って遠隔操作ツール(Remote Access Tool、RAT)「FlawedAmmyy RAT」のダウンローダへ誘導する不正な.XLSファイルを拡散したことが確認されました。
続きを読むトレンドマイクロは、macOSで同一領域のメモリが二重に解放される「ダブルフリー」の脆弱性を発見しました。この脆弱性には共通脆弱性識別子「CVE-2019-8635」が割り当てられています。CVE-2019-8635は、AMD製GPU「Radeon」のコンポーネントにおけるメモリ破壊に起因します。攻撃者がこの脆弱性の利用に成功すると、権限を昇格し、ルート権限で不正なコードを実行可能です。弊社の情報公開を受けAppleは修正プログラムを公開しました。
続きを読むトレンドマイクロは、8つの脆弱性/脆弱性攻撃ツールの利用と辞書攻撃によってWebサーバ、ネットワークドライブ、および外付けドライブを狙い、仮想通貨発掘ツール(コインマイナー)を送り込む新しいマルウェアファミリを確認しました。このマルウェアは、作成するレジストリと主なコンポーネントの名称にちなんで「BlackSquid」と名付けられました。以下のようなBlackSquidの特徴は、このマルウェアの危険度を高いものにしています。
- 検出回避機能:仮想環境、デバッグ、サンドボックスを検知してインストールを中止
- 拡散機能:ワームのような挙動によってネットワーク内で拡散
- 8つの脆弱性/脆弱性攻撃ツールを利用:「EternalBlue」、「DoublePulsar」、「CVE-2014-6287」、「CVE-2017-12615」、「CVE-2017-8464」、複数のバージョンが影響を受ける「ThinkPHP」の3つの脆弱性
トレンドマイクロは、Miraiの新しい亜種(Backdoor.Linux.MIRAI.VWIPTとして検出)を確認しました。この亜種は合計13件の脆弱性を利用します。そのほとんどが以前のMiraiに関連した攻撃において利用されてきました。典型的なMiraiの亜種はバックドアと分散型サービス拒否(Distributed Denial of Service、DDoS)の機能を持っています。しかしながら、今回の場合、13件の脆弱性すべてを1つの活動においてまとめて使用した初めての事例として、他のMiraiの事例と比べて注目されています。
(さらに…)