トレンドマイクロは、2017 年 7 月、本ブログにて標的型サイバー攻撃キャンペーン「ChessMaster」の諜報活動について解説しました。ChessMaster は、「ChChes」、「RedLeaves」、「PlugX(※1)」のような「Remote AccessTool(RAT)」をはじめ、さまざまなツールやマルウェアを利用し、主に日本の法人を標的として攻撃します。2017 年 9 月下旬、トレンドマイクロはChessMasterによる新しい活動を確認しました。利用されたツールと手口は注目すべき変化を遂げており、以前の攻撃では確認されていないものでした。弊社の調査によると、ChessMasterはオープンソースのツールと自ら開発したツールを利用し、おそらく攻撃者の特定を逃れるために、その手法を変化させ続けています。ChessMasterによる攻撃キャンペーンのこれまでの経緯を踏まえると、今後もさらなる変化が予想されます。
続きを読む本ブログでは、2017 年 9 月に iOS の不正な構成プロファイル「iXintpwn(アイシントポウン)(別名:YJSNPI(ヤジュウセンパイ)ウイルス)」について解説しました。iXintpwn は、未署名の構成プロファイルの形で侵入し、ホーム画面に大量のアイコンを作成します。インストール時に、場合によっては iOS のホーム画面を管理する標準アプリが強制終了し、端末が応答不能の状態に陥ることもあります。また、アンインストールを困難にするために、作成されるアイコンは削除不可に設定されていました。
トレンドマイクロは、2017 年 10 月、署名済みプロファイルを利用して前回とは異なる攻撃を実行する iXintpwn の新しい亜種(「IOS_YJSNPI.A」として検出)を確認しました。「IOS_YJSNPI.A」は、 2 つのアプリストア「hxxp://m[.]3454[.]com」および「hxxp://m[.]973[.]com」で配布されていました。弊社の解析によると、この新しい亜種の主な目的は、前回のように対象端末のオペレーティング・システム(OS)に負担をかけることではなく、「リパックアプリ」をダウンロードさせる Web サイトへの誘導です。
図 1:前回確認された未署名のプロファイル(左)、今回確認された署名済みプロファイル(右)
署名済みプロファイル(右)の説明には、「ゲーム、ソフトウェア、壁紙を提供するiOS アプリストア」とある。
(さらに…) 続きを読む
モバイル端末の性能は、ある程度の仮想通貨を実際に発掘するには不十分だという疑いがあります。しかし、機器の消耗、電池の短命化、通常よりも重たい動作など、感染端末がユーザに与える影響は明確です。
トレンドマイクロは、2017年10月中旬、不正に仮想通貨を発掘する能力を備えたアプリを Google Play 上で確認しました。これらのアプリは、検出を逃れるために、JavaScript を動的に読み込み、ネイティブコードを追加する手法を利用します。トレンドマイクロは、これらの不正アプリを「ANDROIDOS_JSMINER(ジェイエスマイナー)」および「ANDROIDOS_CPUMINER(シーピーユーマイナー)」として検出しています。
続きを読む北朝鮮のインターネットは、ハッカーが北朝鮮国内から国外にアクセスするのみで、外からはアクセス不可能な一方通行のネットワークだと一般には考えられているようです。2014 年の「Sony Pictures」に対するハッキングや、各国銀行を襲ったサイバー銀行強盗は、北朝鮮の攻撃者によるものだと報告されています。これらの事例と北朝鮮を関連づけるために入手可能な公開情報は、北朝鮮の IP アドレス空間からのインターネット通信です。同国のインターネットは厳しく管理されており、ネットワーク内の PC が攻撃を受けることも無いと考えられているかもしれません。では、国外のサイバー犯罪者が管理するボットが 1 年以上にもわたって北朝鮮で活動できた理由は何でしょう。通常のマルウェアが北朝鮮の PC を感染させることは可能なのでしょうか。また、北朝鮮に割り振られた IP アドレスはすべて同国で使用されているのでしょうか。本記事では、これらの問いについて調査することにより、北朝鮮によるものだと考えられていた攻撃について得られた知見を解説します。
続きを読む韓国を標的とした新しい暗号化型ランサムウェア「MAGNIBER(マグニバー)」(「RANSOM_MAGNIBER.A」および「TROJ.Win32.TRX.XXPE002FF019」として検出)が確認されました。MAGNIBER は、攻撃者が保有するドメインまたはサイト上の「malvertisement(不正広告)」を介し、脆弱性攻撃ツール(エクスプロイトキット)「Magnitude Exploit Kit (Magnitude EK)」によって拡散します。Magnitude EK は、拡散するランサムウェアを「CERBER」から MAGNIBER に変更し、対象を韓国のユーザに特化したようです。
続きを読むインターネット上で世論を操作する「サイバープロパガンダ」や、社会的および政治的な主張のもとでハッキングなどの手段を使って行動する「ハクティビズム」に関して、
- 誰が
- どこで関連ツールを入手し、技術を取得して
- どんな手口を使うのか
といった疑問が挙がってくるでしょう。その回答の 1つとして、少なくとも従来のサイバー犯罪者が関与していることは疑いの余地はありません。
トレンドマイクロは、リビアに拠点を置くサイバー犯罪者が、通常のサイバー犯罪と同時にサイバープロバガンダの活動も実行している事例を確認し、本稿で報告します。
続きを読むプロパガンダ(宣伝工作)は、一般大衆の意見を誘導し世論を操作するために、国家や組織によって古くから利用されてきた効果的な手法です。冷戦時代には、欧米の各ラジオ局が欧米支持のメッセージを東欧諸国に向けて放送し、プロパガンダのツールとして利用することに成功しました。また、東西ドイツを再統一に導いた決定的な要因は、欧米のテレビ放送であったと考えられていることは、視覚媒体が持つ影響力の証拠となっています。テレビは、東欧の生活とはかけ離れた欧米の理想的な生活を見せつけました。プロパガンダを成功させるための重要な要因は、概して2つあります。1つは、価値のある有意な情報を収集すること、そしてもう1つは、強力な伝達経路を利用することです。メッセージが一般大衆に届かなければ、プロパガンダは成功しません。
続きを読む以来、トレンドマイクロでは、RETADUP の検体を継続して入手してきました。今回確認された亜種は、南米の特定の産業と政府を標的としていました。弊社は、「RETADUP」のファミリは、ごく少数の限られた攻撃者によって利用されていると考えています。アンダーグラウンド市場やフォーラムで販売または配布されているという証拠が見つかっていないためです。
続きを読む