Microsoftは、2019年5月の月例セキュリティ情報において、リモート・デスクトップ・サービス(Remote Desktop Services、RDS)における脆弱性「CVE-2019-0708」を修正する更新プログラムを公開しました。「BlueKeep」とも呼ばれるこの脆弱性は、細工したメッセージを遠隔から対象のサーバに送信することで攻撃に利用可能です。この脆弱性を利用した攻撃に成功すると、管理者権限で任意のコードを実行できます。これはつまり、2017年に登場し現在に至るまで拡散を続けている「WannaCry」のように、自律的なワーム活動による自動的な拡散が容易に可能になることを意味します。外部のセキュリティ研究者の調査では、リモートデスクトップ機能が標準で使用するポート3389を露出させているデバイスが100万台近く存在していることが分かっており、攻撃発生の危険性が高まっています。前出の通り、既に本脆弱性に対する修正プログラムは公開済みですので、速やかに修正プログラムを適用することを推奨します。
続きを読むトレンドマイクロでは2019年第1四半期(1~3月)における国内外での脅威動向について分析を行いました。数年前まで全世界的に猛威を振るっていたランサムウェアの攻撃は2018年には急減し、既に終わった脅威のように思われているかもしれません。しかし法人でのランサムウェア被害事例の中からは、明確に法人組織を狙った標的型攻撃の中でランサムウェアが使用されたと言える事例が複数確認されており、事業継続を脅かすような深刻な被害を与える存在となっています。
続きを読むソフトウェア開発企業「Atlassian」は、2019年3月、広く利用されているコラボレーションソフトウェア「Confluence」の2つの脆弱性に関するセキュリティ勧告を公開しました。トレンドマイクロは、2019年4月、問題の脆弱性の1つ「CVE-2019-3396」を利用する攻撃を確認しました。CVE-2019-3396は、Confluenceのインスタンスでパストラバーサルと遠隔からのコード実行が可能になる脆弱性です。同じ脆弱性が利用された事例として、セキュリティ企業「Alert Logic」は、暗号化型ランサムウェア「Gandcrab」を作成する攻撃について報告しています。
続きを読むボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.AESDDOS.J」として検出)が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。
弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。
- 分散型サービス拒否(Distributed Denial of Service、DDoS)攻撃
- 遠隔からのコード実行(Remote Code Execution、RCE)
- 仮想通貨の発掘
過去数年間、主要なソフトウェアやサーバコンポーネントはセキュリティ業界において必要不可欠であり重要なものとして認識されています。しかしながら、これらはサイバー犯罪者によってセキュリティ侵害や改ざんなどのさまざまな攻撃の対象とされてきました。そのような攻撃の1つに、ソフトウェアのソースコードや更新サーバ、またはその両方を不正に改ざんするものがあります。いずれの場合も、攻撃者は目立たない方法で対象のネットワークまたはホストに侵入しようとします。これは、サプライチェーン攻撃と呼ばれる攻撃手法です。攻撃者の技術力と活動を隠ぺいしたい度合いに応じて、侵入先のソフトウェアの改ざんに使用される方法は異なります。
(さらに…)
トレンドマイクロは、可能な限り多くのPCとサーバに仮想通貨発掘ツールを送り込むために複数の拡散手法を使用するマルウェアが実際にアジアを中心に拡散していることを確認しました。このマルウェアが2019年の初めに中国で確認された際には、ネットワークを介して拡散する手法として、辞書攻撃、「pass the hash」攻撃、Windows管理ツールの利用、総当たり攻撃が確認されていました。これらに加え、今回トレンドマイクロが日本で新たに確認した事例では、端末への侵入と検出回避のために脆弱性攻撃ツール「EternalBlue」とPowerShellが利用されていることが判明しました。
(さらに…)
IoTデバイスを狙うマルウェア「Bashlite」の更新が確認されました。Bashliteは、「分散型サービス拒否(distributed denial-of-service、DDoS)攻撃」のために「モノのインターネット(Internet of Things、IoT)」デバイスを感染させてボットネットを構築するマルウェアです。今回確認されたBashliteは、ペネトレーションテストのためのフレームワーク「Metasploit」のモジュールを使用することで、Universal Plug and Play(UPnP)APIを有効化したスマートホーム向けIoTデバイス「WeMo」を狙います。
(さらに…)
偽装SMSを発端とする国内スマートフォン利用者を狙った攻撃の継続と新たな変化については3月15日の記事にてお知らせしました。本記事ではその新たな変化についてより詳細な解析をお伝えします。この攻撃で使用されるAndroid向け不正アプリとして、トレンドマイクロは「XLoader」の新しい亜種(「AndroidOS_XLoader.HRXD」として検出)の拡散を確認しました。2018年12月11日の記事で報告した以前のバージョンは、FacebookやChromeのような正規アプリに偽装して情報を窃取するAndroid端末向け不正アプリでした。今回確認された亜種は、Android端末に対しては正規セキュリティアプリに偽装して端末に侵入します。また、iPhoneなどのiOS端末に対してはiOSの構成プロファイルをインストールさせることで端末情報を窃取します。このようなデプロイ手法に加えて、コマンドや、コマンド&コントロール(C&C)サーバのアドレスを隠ぺいするSNSの種類にも変化が確認されました。新しい亜種は、前回の調査における最新バージョンに続けて6.0とラベル付けされています。
■感染の流れ
![XLoaderの感染の流れ](https://blog.trendmicro.co.jp/wp-content/uploads/2019/04/fig1_infection-chain.png)
図1:XLoaderの感染の流れ