2月28日のブログ記事において、日本国内で確認された古いExcel4.0マクロを利用した攻撃について報告しました。この攻撃の背後には特定のサイバー犯罪者集団の存在が推測されていますが、トレンドマイクロでは過去2ヶ月間に行われた同一のサイバー犯罪者集団によるものと考えられる新たな攻撃を徹底的に追跡し、様々な攻撃手法を確認しました。このサイバー犯罪者集団はさまざまなマルウェアを利用して複数の金融機関や小売企業を狙った攻撃を続けており、セキュリティ企業「Proofpoint」によって「TA505」と名付けられた集団と同一と考えられます。最新の活動では主に韓国のユーザに狙いを定め、HTML形式の添付ファイルを使って遠隔操作ツール(Remote Access Tool、RAT)「FlawedAmmyy RAT」のダウンローダへ誘導する不正な.XLSファイルを拡散したことが確認されました。
続きを読むトレンドマイクロは、macOSで同一領域のメモリが二重に解放される「ダブルフリー」の脆弱性を発見しました。この脆弱性には共通脆弱性識別子「CVE-2019-8635」が割り当てられています。CVE-2019-8635は、AMD製GPU「Radeon」のコンポーネントにおけるメモリ破壊に起因します。攻撃者がこの脆弱性の利用に成功すると、権限を昇格し、ルート権限で不正なコードを実行可能です。弊社の情報公開を受けAppleは修正プログラムを公開しました。
続きを読むトレンドマイクロでは常に日本国内へのサイバー攻撃の監視と対応を行っていますが、その対応の中で「モノのインターネット(Internet of Things、IoT)」を狙うマルウェア「Mirai」の新しい亜種の可能性があるマルウェア検体を入手、解析を行いました。この新たなIoTマルウェア検体では、ファイル名や不正コード内の文字列に「Miori」の文字列の使用が見られました。同じ「Miori」を名乗る「Mirai」亜種のIoTマルウェアに関して、トレンドマイクロでは2019年1月のブログ記事でも報告しています。しかし今回確認された新しい亜種は、従来の「Mirai」亜種とは異なる方法で遠隔操作のためのサーバ(C&Cサーバ)と通信を行うことがわかりました。
(さらに…)
トレンドマイクロは、コンテナを狙う不正活動を監視するための取り組みの一環として、APIを露出させたDockerホストを実行するPCをハニーポットとして設置しました。Dockerは、コンテナベースの脅威によって最もよく狙われるシステムのひとつです。このハニーポットを設置して監視した目的は、攻撃者がこのDockerホストを発見し、ユーザが望まないコンテナを展開するために利用することを検出するためでした。最近、ハニーポットの状態を確認したところ、1つのイメージ(コンテナのスナップショット)が既にこの環境に展開されていたことが分かりました。
(さらに…)
トレンドマイクロは、8つの脆弱性/脆弱性攻撃ツールの利用と辞書攻撃によってWebサーバ、ネットワークドライブ、および外付けドライブを狙い、仮想通貨発掘ツール(コインマイナー)を送り込む新しいマルウェアファミリを確認しました。このマルウェアは、作成するレジストリと主なコンポーネントの名称にちなんで「BlackSquid」と名付けられました。以下のようなBlackSquidの特徴は、このマルウェアの危険度を高いものにしています。
- 検出回避機能:仮想環境、デバッグ、サンドボックスを検知してインストールを中止
- 拡散機能:ワームのような挙動によってネットワーク内で拡散
- 8つの脆弱性/脆弱性攻撃ツールを利用:「EternalBlue」、「DoublePulsar」、「CVE-2014-6287」、「CVE-2017-12615」、「CVE-2017-8464」、複数のバージョンが影響を受ける「ThinkPHP」の3つの脆弱性
モノのインターネット(IoT、internet of things)は、一般家庭や工場と同様に企業の在り方をも変えつつあります。職場における従業員が個人的に所有するIoTデバイスの存在とその利用は、IoTがどのようにして企業や法人に変化を促したかを最も明確に示しています。
(さらに…)
トレンドマイクロは、Miraiの新しい亜種(Backdoor.Linux.MIRAI.VWIPTとして検出)を確認しました。この亜種は合計13件の脆弱性を利用します。そのほとんどが以前のMiraiに関連した攻撃において利用されてきました。典型的なMiraiの亜種はバックドアと分散型サービス拒否(Distributed Denial of Service、DDoS)の機能を持っています。しかしながら、今回の場合、13件の脆弱性すべてを1つの活動においてまとめて使用した初めての事例として、他のMiraiの事例と比べて注目されています。
(さらに…)