2020年に注目を多く集める攻撃となったランサムウェアの亜種「RansomExx」は、その後の調査によってこの活動が未だ有効であること、また更なる開発の兆候があることが示されています。最近の調査ではLinux環境に適応した新亜種が使用されたという事実も判明しており、Windows以外にも活動範囲を拡大していることが分かります。 (さらに…)
続きを読む「MISPADU(ミスパドゥ)」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール(バンキングトロジャン)に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動(スパムキャンペーン)が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。
Apache Tomcatに確認された「Ghostcat(ゴーストキャット)」の脆弱性、「CVE-2020-1938」および「CNVD-2020-10487」が論議を引き起こしています。この脆弱性が及ぼす影響について、とりわけ、Ghostcatがリモートコード実行(Remote Code Execution、RCE)に使用される可能性についてのリサーチャーによる調査結果が注目されています。
オープンソースの「Apache Tomcat」は、Java ServletやJavaServer Pages (JSP) を実行するためのサーブレットコンテナです。多くのユーザに利用されているため、確認されたGhostcatの脆弱性が深刻視されるのは当然のことと言えます。今回のブログ記事では、最も懸念されるGhostcat悪用のシナリオ、つまりこの脆弱性を利用することによってRCEが可能になり得るという、稀な状況を想定し、その深刻度について解説します。
今回、トレンドマイクロでは、正規プロセスの中を「くりぬいて」不正なプロセスのコードに入れ替える「プロセスハロウイング(Process Hollowing)」の手法と、不正活動開始にコンポーネントファイルにコマンドライン引数を参照させる手法とを組み合わせる高度な検出回避手法を使用し、仮想通貨Moneroを狙うコインマイナーを感染させる攻撃を確認しました。この手法により、コインマイナーは、自身が不正なファイルとして検知されることを回避できます。このコインマイナーのコンポーネントファイルは、コンテナとして機能し、正規プロセスでのメインファイルの活動を停止させます。一方、コンポーネントファイルの方は、特定のコマンドライン引数がない限り実行されません。これは動的解析を困難化させるための手法であり、コンポーネントファイルは未使用のまま不正と認識されず、検知回避が可能となります。トレンドマイクロの調査によると、この手口を用いた攻撃キャンペーンは、2019年11月初旬に増加し始め、11月20日の時点でクウェート、タイ、インド、バングラデシュ、アラブ首長国連邦、ブラジル、パキスタンで最も多く確認されました。
続きを読むWindowsインストーラは、プログラムをインストールするために、「Microsoft Software Installation(MSI)」パッケージファイルを使用します。各パッケージファイルには、プログラムのインストールまたは削除に必要な指示とデータを格納するリレーショナルタイプのデータベースが含まれています。
トレンドマイクロは、2019年4月、従来のセキュリティソリューションを回避し、他のファイルをダウンロードして実行する不正なMSIファイルを確認しました。攻撃者はこれらのMSIファイルのカスタムアクションを利用して、不正なスクリプトの実行やマルウェアの作成を行います。この手法を利用するマルウェアの1つは、特定のフォルダをチェックすることで対象とする銀行システムの有無を判定し、キー入力のようなイベントを待機して不正活動を行うものでした。また、再起動時に自身を実行し活動を持続する機能も備えていました。
(さらに…)
トレンドマイクロは、SOHO(小規模または自宅事務所)用ルータを狙う新しい脆弱性攻撃ツール(エクスプロイトキット、EK)「Novidade EK」を確認しました。Novidade EK は、ユーザがすでにログインしている Web アプリケーションを介してクロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)攻撃を実行し、ルータに接続された機器やデスクトップ PC からルータの Domain Name System(DNS)設定を変更します。ユーザが標的ドメインにアクセスすると、当該ドメインへのトラフィックが不正サイトの IP アドレスに名前解決され、攻撃者が管理するサーバにリダイレクトされます。
続きを読むトレンドマイクロでは「ビジネスメール詐欺(BEC)」関連の調査を進める中で、日本語を使用した詐欺メールが複数の国内企業に着弾していたことを確認いたしました。トレンドマイクロが確認したものと同内容の日本語の詐欺メールに関しては、独立行政法人情報処理推進機構(IPA)からの注意喚起が8月27日に公開されています。このIPAの注意喚起とトレンドマイクロの調査結果から、この7月に日本国内の企業に対する日本語を使用したBECの攻撃キャンペーンが行われていたことは明らかです。さらにトレンドマイクロの調査結果からは、言語を変えただけで同様の手口と考えられる詐欺メールがブラジルやギリシャの企業にも着弾していたことがわかりました。つまり、7月に確認された日本語の詐欺メールは、日本だけを標的としたサイバー犯罪者によるものではなく、世界的なBEC攻撃の一部であったと推測されます。
続きを読むトレンドマイクロは、2018 年 5 月上旬、メキシコを発信源とする「Mirai」の亜種を利用したネットワークスキャン活動を確認しました。この攻撃は、2018 年 4 月にブラジルで確認された、Mirai を模倣した中国発のネットワークスキャン活動に類似しています。異なる点は、今回検出された活動の一部で、光通信規格「Gigabit Passive Optical Network(GPON)」を利用する家庭用ルータの 2 つの脆弱性、「CVE-2018-10561」と「CVE-2018-10562」を狙う攻撃が確認されたことです。これらの脆弱性を利用すると、機器への侵入と「遠隔でのコード実行(Remote Code Execution、RCE)」が可能になります。
続きを読むトレンドマイクロは、Facebook アカウントの認証情報を窃取し、不正に広告を表示する Android端末向け不正アプリ「GHOSTTEAM(ゴーストチーム)」(「ANDROIDOS_GHOSTTEAM」として検出)を合計 53 個、 Google Play 上で確認しました。当該不正アプリの多くは早くも 2017 年 4 月、ほぼ同時期にまとめて Google Play に公開されているようです。解析した検体の多くは Google Play の説明も含めてベトナム語で書かれていました。
続きを読む