検索:

MITRE ATT&CK TTPsに基づくIoT Linuxマルウェアの分析

  • 投稿日:2022年5月16日
  • 脅威カテゴリ:ランサムウェア, ボットウイルス, 攻撃手法
  • 執筆:Trend Micro
0

本ブログエントリでは、IoT(Internet of Things: モノのインターネット)Linuxマルウェアの調査結果を報告し、特にこれらマルウェアファミリが時間と共にどのように変化してきたかを分析します。トレンドマイクロが観測したマルウェアについて、その機能や特徴を定義するため、MITRE ATT&CK TTPs(Tactics、Techniques、Procedures)を用いました。

本調査より、IoT Linuxマルウェアは、特にIoTボットネットを構築するものについて、継続的に進化していることが分かりました。時間とともに実装する機能の追加、または、削除が見られます。とりわけ、データ送出や水平移動(ラテラルムーブメント)の機能ではなく、局所集中型の感染を引き起こす機能の進化に力が向けられる傾向があります。

表1に、トレンドマイクロが収集したマルウェア関連データの中で、最も多く実装されている機能やテクニックの上位10個を示します。

ATT&CK Tactic Technique (TTP)

マルウェア

ファミリ数

Discovery(探索) T1083:File and Directory Discovery(ファイルとディレクトリの探索) 10
Command and Control(コマンド・コントロール) T1071.001:Application Layer Protocol: Web Protocols(アプリケーション層プロトコル: Webプロトコル) 9
Initial Access(初期アクセス) T1133:External Remote Services (外部リモートサービス) 8
Execution(実行) T1059.004:Command and Scripting Interpreter: Unix Shell(コマンド・スクリプトインタプリタ: Unixシェル) 7
Impact(影響) T1498.001:Network Denial of Service: Direct Network Flood(サービス拒否・直接フラッド攻撃)
Credential Access(認証情報アクセス) T1110.001:Brute Force Password Guessing(ブルートフォースパスワード推定) 6
Discovery(探索) T1057:Process Discovery(プロセス探索)
Execution(実行) T1106:Native API(ネイティブAPI) 5
Impact(影響) T1486:Data Encrypted for Impact(データ暗号化)
Defense Evasion(防御回避) T1070.004:Indicator Removal on Host: File Deletion(ホスト上の痕跡隠滅: ファイル削除) 4
Lateral Movement(水平移動・内部活動) T1210:Exploitation of Remote Services(リモートサービス不正使用)
Persistence(永続化) T1053.003:Scheduled Task/Job: Cron(タスク・ジョブスケジュール: Cron)

表1:実装頻度の高い上位10個のテクニック

(さらに…)

続きを読む
Tags: ランサムウェアボット型マルウェアIOTLinuxMITRE ATT&CK

2022年5月のセキュリティアップデート解説:Adobe社が18件、Microsoft社が74件の脆弱性に対処

  • 投稿日:2022年5月13日
  • 脅威カテゴリ:脆弱性, 速報
  • 執筆:Zero Day Initiative (ZDI)
0

5月10日火曜日にAdobe社とMicrosoft社から最新のセキュリティアップデートが公開されました。今回リリースされたセキュリティ更新プログラムの詳細について確認しましょう。

(さらに…)

続きを読む
Tags: なりすましパッチチューズデーDoSEoPRCE

ランサムウェア「BlackCat」の攻撃活動をトレンドマイクロの技術により追跡調査

  • 投稿日:2022年5月12日
  • 脅威カテゴリ:対策技術, ランサムウェア
  • 執筆:Trend Micro
0

先日トレンドマイクロは、クロスレイヤの検知と対応(XDR)機能を搭載する脅威防御のプラットフォーム「Trend Micro Vision One™」を用いて、ランサムウェア「BlackCat」の背後にいる攻撃者グループに関連する事例を調査しました。ランサムウェア「BlackCat(別称:AlphaVM / AlphaV)」は、プログラミング言語「Rust」で作成されているほか、ランサムウェアをサービス化して提供するビジネスモデル「Ransomware as a Service(RaaS)」のもとで運用されているランサムウェアファミリの一つです。トレンドマイクロのデータによれば、BlackCatランサムウェアは主にサードパーティ製のフレームワークやツール群(Cobalt Strikeなど)を介して配信されているほか、侵入口として脆弱な公開アプリ(Microsoft Exchange Serverなど)を悪用することがわかっています。

(さらに…)

続きを読む
Tags: AlphaVAlphaVMランサムウェアBlackCatRaaSTrend Micro Vision OneWebシェル

ランサムウェアスポットライト:LockBit

  • 投稿日:2022年5月12日
  • 脅威カテゴリ:ランサムウェア, 統括
  • 執筆:Trend Micro
0

トレンドマイクロが追跡しているランサムウェア「LockBit」による攻撃キャンペーン「Water Selkie」は、現在、最も活発なランサムウェア攻撃の1つとなっています。この攻撃キャンペーンでは、LockBitの多彩な機能やアフィリエイトプログラムのビジネスモデルが駆使されており、企業や組織は、これらの手口を常に把握して脅威のリスクを見出し、攻撃から身を守る必要があります。

(さらに…)

続きを読む
Tags: LockBitStealBitWater Selkie

Spring4Shell(CVE-2022-22965)を悪用したコインマイナーの攻撃を観測

  • 投稿日:2022年5月11日
  • 脅威カテゴリ:脆弱性
  • 執筆:Trend Micro
0

暗号資産のマイニングを行う攻撃者は、より多くの利益を得るため、脆弱な端末にマルウェアを感染させる方法を常に探し求めています。特にさまざまな種類のオペレーティングシステムに存在する脆弱性が悪用するケースがよく確認されます。今回、トレンドマイクロでは、脆弱性「Spring4Shell」(CVE-2022-22965)がコインマイナーの攻撃に悪用される事例を確認しました。この脆弱性はJava Development Kit バージョン9以降で動作するSpring MVC(model-view-controller)およびWebFluxアプリケーションに存在するリモートコード実行に関するもので、ボットネットMiraiの活動での悪用も確認されています。

(さらに…)

続きを読む
Tags: コインマイナーCVE-2022-22965Spring4Shell

「侵入経路の多様化」により気づけていない被害も?:国内における標的型攻撃の分析

  • 投稿日:2022年5月10日
  • 脅威カテゴリ:統括, 攻撃手法
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロでは、2021年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行いました。ネットワークに侵入する攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在です。またこの危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在が見え隠れします。攻撃者は標的組織が持つセキュリティ上の弱点を見逃さず、彼らにとって最も適した攻撃手法を用いて侵入を試みます。

ネットワークに侵入する標的型攻撃の攻撃段階概念図
図:ネットワークに侵入する標的型攻撃の攻撃段階概念図

(さらに…)

続きを読む
Tags: サプライチェーン攻撃RDPSSLVPN標的型攻撃

ランサムウェアスポットライト:Conti

  • 投稿日:2022年5月9日
  • 脅威カテゴリ:ランサムウェア, 統括, 攻撃手法
  • 執筆:Trend Micro
0

ランサムウェア「Ryuk」の後継と推測される「Conti」は、最近話題となった各種攻撃でも注目されている悪名高いランサムウェアファミリの1つです。このランサムウェアファミリの詳細を理解することは関連する脅威から企業を守る上で有効となります。

Contiの脅威から企業の安全を守るために何を把握しておくべきでしょうか。

(さらに…)

続きを読む
Tags: Conti

「EMOTET」の新手口:ショートカットリンクに注意

  • 投稿日:2022年5月6日
  • 脅威カテゴリ:メール, スパムメール, 速報, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

マルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。

図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている

(さらに…)

続きを読む
Tags: 不正マクロマルウェアスパムEMOTET

ランサムウェア「Lockbit」を配布するローダ型マルウェア「SocGholish」と「BLISTER」の検出回避手口を解説

  • 投稿日:2022年4月28日
  • 脅威カテゴリ:ランサムウェア, サイバー攻撃, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロのManaged XDRチーム(以下、MDRチーム)では、ランサムウェア「LockBit」をペイロードとしてドロップするために攻撃者によって利用されたローダ型マルウェア「BLISTER」による用心深い挙動を観測しました。MDRチームでは、緻密な監視と迅速な対応によって、双方におけるペイロードの実行を阻止しました。

BLISTERとSocGholishは共にステルス性が高く、有害なペイロードを送りこむ際に検出回避を試みる手口で知られています。特に、攻撃キャンペーンで一緒に利用されることで知られており、SocGholishの侵入後、BLISTERが第二段階としてメインのペイロードをドロップする形で攻撃が行使されてきました。両者を組み合わせることで、攻撃者は巧みに検出を回避し、メインとなるペイロード(特に今回はLockBit)を標的に向けてドロップ・実行しようとします。今回の調査では、これら第一段階のマルウェアが事前に阻止されなかった場合に何が引き起こされるのかを解説します。

(さらに…)

続きを読む
Tags: BLISTERLockBitSocGholishTrend MicroTM Managed XDR検出回避

複数レイヤーにおける正規リモートアクセス手段の悪用で検出回避を試みる攻撃手法の解説

  • 投稿日:2022年4月27日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロのManaged XDR(eXtended Detection and Response)を担当するチーム(以下、MDRチーム)は最近、ある顧客を標的とした攻撃事例に対処しました。この事例は、攻撃者による巧妙な検出回避と、複数レイヤーに跨る攻撃を示すものでした。まず、エンドポイントの脆弱性を攻撃し、そこから水平移動・内部活動へと繋げる様子が確認されました。一連の攻撃は、脆弱性「ProxyShell」を突いたクラウドサーバへのWebシェルのインストールから始まり、最終的な侵入手段としてリモートデスクトッププロトコル(Remote Desktop Protocol:RDP)を含む正規リモートアクセス手段を用いた持続的な攻撃に発展しました。

(さらに…)

続きを読む
Tags: eXtended Detection and ResponseManaged XDRPossible_SMWEBSHELLYXBH5AProxyShellWebシェル
Page 3 of 251 « ‹ 234 › »


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.