2014年3月1日、中国雲南省昆明市で 29名が死亡する無差別殺傷事件がありました。「TrendLab(トレンドラボ)」では、この事件をソーシャル・エンジニアリングの手口として利用した Eメールを確認しました。この問題の Eメールは、正規のものに見せるため、事件の詳細と、情報元としていくつかの報道機関に言及しています。そして、より詳細な情報を求めるユーザに添付ファイルを開封させます。この添付ファイルに付けられた「過激なテロ攻撃」というファイル名は、おそらく受信者の興味を引くためだと思われます。
続きを読む2013年10月下旬、「TorRAT」と呼ばれる不正プログラムを拡散したとして、オランダで 4人の男が逮捕されました。この不正プログラムは、オランダ語を使用するユーザのみを対象とし、コマンド&コントロール(C&C)サーバに匿名通信システム「The Onion Router(Tor)」を利用していました。この不正プログラムの主要な目的は、オンラインバンキング口座からの金銭の収集でした。トレンドマイクロの製品では、「TROJ_INJECT.LMV」として検出されるこの不正プログラムについては、弊社のセキュリティ情報のページでより詳細な記述をしています。ユーザは、特段精巧に作られたスパムメールの送り状をクリックすることでこの脅威の被害者となります。通常、ネイティブスピーカでない同業の犯罪者たちによって送信される典型的なスパムメールには、文法やつづりの間違いがありますが、これらの送り状にはありませんでした。
続きを読むトレンドマイクロは、この数カ月間、スパムボット「Stealrat」を積極的に監視しています。このスパムボットは、2010年ごろから確認されているようですが、2012年末頃からアダルト関連や偽医薬品関連のスパムメールを頻繁に送信することが確認されています。そして、スパムメール送信のため主に、改ざんされたWebサイトおよびそのシステムを利用しています。このスパムボットの運用状況を監視する過程で、弊社は、約19万5千もの改ざんされたドメインおよび IPアドレスを特定しました(期間:2013年4月~7月末)。これら改ざんサイトの共通点として、このスパムボットを操作するサイバー犯罪者は、脆弱性を抱える「コンテンツ管理システム(CMS)」を使用する Webサイトを悪用しており、確認した CMS として、「WordPress」や「Joomla」、「Drupal」が挙げられます。
続きを読むトレンドマイクロでは、これまで法的機関や各セキュリティ関係者と協力して、サイバー犯罪関連捜査に何度も貢献してきました。
・明らかになった巨大ボットネットの正体 - 史上最大規模のサイバー犯罪を摘発
/archives/4600
・警察を装ったランサムウェアの主犯格を逮捕
/archives/6689
今回、台湾の犯罪捜査局である「内政部警政署刑事警察局(Taiwan Criminal Investigation Bureau(CIB))」は、トレンドマイクロの協力の下、2013年4月下旬に発生した標的型攻撃による個人情報窃取事件を解決し、CIB により攻撃者の 1人が逮捕されることになりました。この標的型攻撃には、「Remote Access Tool(RAT)」として悪名高い「Gh0st RAT」が関与していました。このRAT は、トレンドマイクロでは「BKDR_GHOST」または「TROJ_GHOST」として検出され、標的型攻撃において頻繁に用いられていることで知られていますが、攻撃者だけでなくサイバー犯罪者からも幅広く利用されています。
続きを読むトレンドマイクロは、2013年2月下旬、「Remote Access Tool(RAT)」である「RARSTONE」について本ブログで報告しました。このRARSTONE は、同RATより古くから知られている「PlugX」と類似した特徴をいくつか備えています。そして、同年4月、ソーシャルエンジニアリングの手口として「ボストン・マラソン同時爆破事件」に便乗した標的型攻撃において、このRATが利用されていました。
続きを読むAs of this writing we are currently receiving samples that indicates another stration hit, the first one this year. The samples are already submitted for the creation of appropriate Trend solution. We will update you on the detection name and pattern release as soon as possible. Below is the list of md5 hashes of received files:
- 885ed3407b5cc783e6ad4a1f2fd75b5f
- be220034958e7369761949a932b96aca
and email samples are shown below.
Update (Roberto Tayag, Mon, 15 Jan 2007 02:18:59 PM)
more md5 hashes below:
- 0792d134c6cd84372cd829256f6a361a
- 78976940ce94caa30623eafe3076caf8
This will be detected as TROJ_STRAT.AG, pattern file is now under QA testing and will be released very very soon.
Update (Roberto Tayag, Mon, 15 Jan 2007 06:19:11 PM)
For more information on this threat you can visit the Trend Micro virus encyclopedia here, Trend also detects this threat using OPR 4.181.00 and more md5 hashes for all..
- a4f213f0b4f7afbf19faaf3d8d912224
- 7ad860ecf541824a3daf4fc829266f56
- f78972289ac9b39143e7c5e200f4bbf6
続きを読む
Today we received via our systems numerous samples of TROJ_STRAT. These samples are detected by Trend Micro as TROJ_STRAT.IC in the latest OPR 4.121.00, thus, users are advised to update their pattern files to the latest release.
The samples we have, comes in two files with different MD5 hashes. Here are the md5 hashes:
- 4ed79f2f9180235069782067999ab548
- f8d2c08cf1cf57d5b2fb28099a6cfe14
For network administrators you may want to block emails with the following details:
続きを読む