■ はじめに
正規のリモート操作ソフトとして有名な「TeamViewer」を悪用するマルウェア「SpyAgent」を介した攻撃キャンペーンについて、トレンドマイクロは追跡し、調査してきました。過去のSpyAgentを介した攻撃については、既に他のレポートでも言及されていますが、本ブログエントリではSpyAgentの最新攻撃手法に着目します。
続きを読む2022年2月24日、ロシア軍がウクライナ国内に侵攻したことで勃発した物理的な戦闘は、現在も継続中です。そうした中、地上での物理的な戦闘と並行して、サイバー攻撃においても、個人、攻撃者、さらには国家支援と見られるグループによる活動が懸念されています。こうしたサイバー攻撃については、情報が大量に出回っており、個人や集団の特定だけでなく、その真偽を確かめることが困難な状況にあります。インターネット上で偽情報を拡散させることは容易であり、紛争時において情報やインテリジェンスが果たす重要な役割を考えれば、多くの関係者がそのような活動に走る動機は十分にあるといえます。また、紛争に直接関与していなくても、この状況に便乗する攻撃者が存在する可能性もあります。
このブログ記事では、トレンドマイクロのリサーチチームが検証したいくつかの資料に基づいてサイバー脅威の動向をまとめ、サイバー攻撃に対する防御に有益かつ正確な情報を提供します。なお、今後発生する脅威について随時更新していく予定です。
続きを読むトレンドマイクロは、被害者のシステムに大量の遠隔操作ツール(RAT)を送り付けるファイルレス攻撃キャンペーンを確認しました。この攻撃では「クリプターサービス」である「HCrypt」の派生系が使用されていました。「クリプター」とは、攻撃者が自身の使用するマルウェアの検出回避/困難化の目的で使用する、暗号化/難読化用ツールです。HCryptは「Crypter-as-a-service」(クリプターサービス)として認識されており、検出困難化のためのクリプター/多段化ジェネレーターです。攻撃者はサービスにお金を払って選択したマルウェアに最適な難読化を施し、多段のロード手法によるファイルレス活動を行うためのスクリプトを入手します。今回確認したHCryptの新しいサービスでは、過去に確認したものと比べて、新たな難読化メカニズムが使用されていました。今回の攻撃は2021年8月中旬に活動のピークを迎えていましたが、これまでに観測されたものとは異なる新たな難読化の手法や攻撃ベクタが確認されています。
続きを読む2021年6月以降、トレンドマイクロでは「Chaos」と呼ばれる開発中のランサムウェアビルダーを監視しています。これは、あるアンダーグラウンドのフォーラムでテスト用に提供されており、バージョン1.0ではRyukの.NETバージョンを名乗っていましたが、そのサンプルをよく調べてみると昨今の悪名高いランサムウェアとの共通点はあまりないことがよくわかります。事実、現在のChaosは4代目ですが、それ以前のバージョンはランサムウェアというよりも破壊活動を行うトロイの木馬と言うべき活動内容でした。
本ブログ記事では、Chaosランサムウェアビルダーの特徴および世代が更新されるごとにどのような能力が新たに付加されているかを解説します。
続きを読むこの記事では、個人またはハッキンググループによって行われたInstagramアカウントハッキングの攻撃キャンペーンを検証します。本記事で検証する攻撃キャンペーンの背後にいたサイバー犯罪者は、最大の効果を得るためにソーシャルメディアのインフルエンサーを狙っていました。これは過去の攻撃キャンペーンでも見られた手口です。インフルエンサーは何百万人ものフォロワーを抱えており大きな影響力を持っていることからサイバー犯罪者の標的になりやすいものと言えます。一方インフルエンサー個人にとっては、SNSを通じた企業案件やアフィリエイト、その他の方法で収入を得ていることが多いため、アカウントが侵害された際の損失は非常に大きくなります。そしてサイバー犯罪者が狙うのはインフルエンサーだけではありません。Facebook、Twitter、InstagramなどのSNSは、プライベートやビジネスで多くの人が利用しています。Instagramだけでも、実に毎月10億人以上のユーザが利用しており、これは、現在の世界人口の約8分の1に相当します。そして、ハチが蜜を求めて花に集まるように、サイバー犯罪者もハッキングや恐喝の獲物を求めてこれらのサイトに集まってきます。近年では、こういった企てに関連するさまざまなグループや手口が確認されています。利用者にとって、InstagramなどSNSアカウントを狙うハッカーの手口を知ることは、自分のアカウントを守る方法を知ることに繋がります。セキュリティリサーチャーの観点からInstagramアカウントを狙ったハッキング事例を考察し、Instagramやその他のソーシャルメディアプラットフォームのユーザへ向けた推奨事項を紹介します。
図1:Instagramの認証情報を狙うフィッシングページの例
続きを読む先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。
図1:DarkSideを装った攻撃者が送信した脅迫メールの一例
続きを読む最終更新日:2021年5月17日 当初公開日:2021年5月13日
※当初公開日以降の新たな展開および追加情報に基づき、本文および「MITRE ATT&CK」の表を更新
※ トレンドマイクロでは、2021年5月21日(金)14時より本件の緊急ウェビナーを実施します。詳細はこちらをご覧ください。
2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。
トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。
新型コロナウイルス(COVID-19)の流行に伴い、オンラインサービスの利用が拡大しています。そのような傾向は以前から見られましたが、物理的な接触を避ける必要が生じたことによってこの傾向は加速したと言えます。公共サービスや「テレヘルス(遠隔医療)」に代表される医療サービスなど、多くのサービスがオンライン化されました。また、実店舗の閉鎖も相次ぎ、企業はオンライン取引の拡大に注力しています。
続きを読む※本記事は新型コロナウイルス(COVID-19)に便乗する脅威に関するまとめ記事です。
最終更新日:12月7日 前回更新日:4月30日 当初公開日:4月9日
また、特に日本国内で確認された便乗脅威に関しては以下のis702の記事でも最新事例を更新しておりますので参照ください。
is702:【注意喚起】新型コロナウイルスに便乗したネット詐欺などにご注意ください
新型コロナウイルス(COVID-19)の世界的な流行に便乗したサイバー犯罪者の活動に関し、前回公開の4月30日から11月11日までに確認した最新情報について、情報を更新いたしました。
続きを読む