情報やデータへのアクセスおよびワークフローの継続性を求めて、ユーザや組織がInternet of Things(IoT)をますます頼りにする中、IoTへの脅威も進化し続けています。サイバー犯罪者は世の中におけるIoTへの依存性に注目しており、現代では家庭とビジネスの両方において、ユーザがこれらのデバイスでファイルの保存やバックアップを行っていることから、ネットワーク接続型ストレージ(NAS)デバイスを攻撃の対象に含めています。さらに重要なことは、これらのツールには貴重な情報が含まれているが、最小限のセキュリティ対策しか講じられていないことをサイバー犯罪者が認識しているという点です。
続きを読むトレンドマイクロでは、Javaの開発環境で使用可能なフレームワークSpring Frameworkの脆弱性「Spring4Shell」(CVE-2022-22965)が悪用され、ボットネットマルウェア「Mirai」による攻撃が可能であることを確認しました。攻撃者は、Mirai本体を「/tmp」フォルダにダウンロードし、「chmod」により権限変更をした上で攻撃の実行が可能となります。
トレンドマイクロでは、このような活動を2022年4月上旬から確認していました。また、利用されるマルウェアのファイルサーバには、異なるCPUアーキテクチャ向けの別の亜種が存在することも判明しています。
本稿では、入手した検体に基づき、脆弱性悪用、検出の経緯、解析結果、修正パッチ、潜在的なリスクおよび実際の適用例などについて説明します。最後のセクションでは、これらのリスクを軽減する方法について推奨事項を記載しています。
続きを読むREvilの時代が終わりを迎えた今こそ、ランサムウェア攻撃に対する戦略を練り直す時です。REvilの戦術から何を学ぶことができるでしょうか。本記事では、同グループが用いたテクニックを分析し、その台頭から凋落までを見直した上で、今後の展望を提言します。
REvil(別名:Sodinokibi)は、RaaS(Ransomware as a Service)のスキームを採用しており、2019年の登場以来、派手な攻撃で悪名を馳せました。REvilに限らず、RaaSによるランサムウェア攻撃は2021年にも留まることを知りませんでした。同年5月には有名なRaaSであるランサムウェア「Darkside」が石油パイプライン会社を攻撃し、米国でガス供給不足を引き起こしたことから法執行機関の注目を集め、REvilも運営停止が公式発表されました。そしてこの取り締まりの結果、最終的に攻撃者が2人逮捕され、TORネットワークが閉鎖されました。しかしながら、油断は禁物です。REvilという「ブランド」に傷が付き、関係者を集めることが難しくなった今、このグループは新たな名称で復活することが予想されます。
それまでの間は、この悪名高いランサムウェアの運営について理解を深め、戦略の立て直しを図るのに良い機会です。
トレンドマイクロでは2021年1年間における国内外での脅威動向について分析を行いました。2021年、多くの企業や組織で急速なデジタルトランスフォーメーション(DX)が進む中、サイバー犯罪者はコロナ禍の状況に便乗し、さまざまな不正活動や攻撃の機会を捉え、新旧さまざまな脅威をもたらしました。
「APT36(別称:Earth Karkaddan)」は、政治的な動機により標的型サイバー攻撃を行う犯罪者グループであり、トレンドマイクロは以前にも同グループがインド軍高官や在外公館をターゲットにしていたことを観測し、本ブログで解説しました。このグループ(C-Major作戦、ProjectM、Mythic Leopard、Transparent Tribeとも呼称される)は、ソーシャルエンジニアリングの手法やフィッシングメールを介した誘導手口をエントリポイント(侵入口)として用いることで知られており、侵入後、感染端末内に「Crimson Remote Access Trojan(RAT)」を展開して情報を窃取します。
トレンドマイクロは2021年後半に、Earth Karkaddanグループが好んで用いたWindows端末用マルウェア「Crimson RAT」と設計が酷似しているAndroid端末用マルウェア「CapraRAT」を同グループが使用していることを突き止めました。これらのツールには、機能名、コマンド、性能などで非常に興味深い共通点があり、それらの詳細については、トレンドマイクロの技術論文「Earth Karkaddan APT(英語)」で取り上げています。
今回実施した調査は、2020年1月~2021年9月までに収集されたトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」のデータに基づいています。
続きを読むトレンドマイクロは2021年半ばから、非常に実体の見えづらいサイバー諜報活動グループ「Earth Lusca」を追跡調査しています。このグループは、スピアフィッシング(標的型)攻撃や水飲み場型攻撃など、従来のソーシャルエンジニアリングの手法を用いた攻撃キャンペーンを通じて世界中の組織を狙っています。同グループの主な動機はサイバー諜報活動と見られており、本稿執筆時点における被害組織のリストには、政府機関、教育機関、宗教運動団体、香港を拠点とする民主化推進団体や人権団体、新型コロナウイルス感染症(COVID-19)研究機関、報道機関など、企業価値の高い組織が含まれています。ただしギャンブルや暗号資産(旧:仮想通貨)に関連する企業も標的としていることから、Earth Luscaグループは金銭的な動機による活動も行っていると見られています。
続きを読む