ボットネットやコマンド&コントロール(C&C)サーバが閉鎖されたとしても、サイバー犯罪活動が一掃されるわけではありません。2013年12月5日のボットネット「ZeroAccess」の閉鎖は、ボットネットのクリック詐欺活動に影響を与えはしたものの、感染の確認は続きました。DRIDEX についても同様で、2015年10月13日、複数の C&Cサーバが閉鎖されたにも関わらず、現在も企業や組織に大きな影響を与える脅威です。トレンドマイクロでは、この DRIDEX の2015年脅威状況について「2015年 年間セキュリティラウンドアップ」で報告しています。
続きを読むエクスプロイトキットは2015年の脅威状況において、脅威連鎖の中核的存在でした。新たな脆弱性を素早く攻撃可能にすると同時に、「malvertisement(不正広告)」や改ざんされたWebサイト経由で広範囲に攻撃が拡散されていました。本ブログでは、これらのエクスプロイト動向についてトレンドマイクロが行った分析について2回に分けて報告いたします。第1回の今回は、新たに確認された脆弱性からエクスプロイトキットを利用した攻撃の一部として用いられた新しい手法など2015年におけるエクスプロイトキットの「改良」について、第2回は、トレンドマイクロのクラウド型対策技術基盤「Smart Protection Network(SPN)」から のフィードバックをもとに、エクスプロイトキットが与えた影響の規模、また、最も影響を受けた国や地域について報告します。
続きを読むトレンドマイクロは、2015年7月7日以降、イタリア企業「Hacking Team」への攻撃により漏えいした機密情報から確認された脆弱性を利用する攻撃や関連事例などを報告しています。
- 伊企業「Hacking Team」の情報漏えい事例:Flash Playerに存在する未修正の不具合を確認
/archives/11851 - 「Hacking Team」の漏えい事例:Open Typeフォントマネージャの脆弱性の検証
/archives/11866 - 「Hacking Team」の情報漏えい事例:Flash Playerのゼロデイ脆弱性「CVE-2015-5119」、複数のエクスプロイトキットで追加を確認
/archives/11877 - 「Hacking Team」の情報漏えい事例:Flashゼロデイ脆弱性、発覚前に韓国と日本で被害発生か
/archives/11884 - 新たなFlashのゼロデイ脆弱性「CVE-2015-5122」、「CVE-2015-5123」を連続して確認
/archives/11903
インターネット利用者にウイルス感染させる目的の Web改ざん攻撃が後を絶ちません。この Web改ざんを起点とした脅威連鎖において、常套手段として利用されているのが「脆弱性攻撃キット(Exploit Kit)」と呼ばれる攻撃ツールです。攻撃者は改ざんした正規Webサイトから用意した不正サイトへ利用者を誘導しますが、脆弱性攻撃キットにより攻撃者はクライアントの脆弱性を攻撃する不正サイトを簡単に構築することができます。今回トレンドマイクロで国内からのアクセスが確認された脆弱性攻撃サイトに対し調査を行った結果、特にインターネット上で一般的に利用されている、Java、Adobe Flash、Silverlightといった技術の脆弱性が特に狙われている実態が明らかになりました。
続きを読む暗号資産のマイニングを行う攻撃者は、より多くの利益を得るため、脆弱な端末にマルウェアを感染させる方法を常に探し求めています。特にさまざまな種類のオペレーティングシステムに存在する脆弱性が悪用するケースがよく確認されます。今回、トレンドマイクロでは、脆弱性「Spring4Shell」(CVE-2022-22965)がコインマイナーの攻撃に悪用される事例を確認しました。この脆弱性はJava Development Kit バージョン9以降で動作するSpring MVC(model-view-controller)およびWebFluxアプリケーションに存在するリモートコード実行に関するもので、ボットネットMiraiの活動での悪用も確認されています。
続きを読むトレンドマイクロでは、Javaの開発環境で使用可能なフレームワークSpring Frameworkの脆弱性「Spring4Shell」(CVE-2022-22965)が悪用され、ボットネットマルウェア「Mirai」による攻撃が可能であることを確認しました。攻撃者は、Mirai本体を「/tmp」フォルダにダウンロードし、「chmod」により権限変更をした上で攻撃の実行が可能となります。
トレンドマイクロでは、このような活動を2022年4月上旬から確認していました。また、利用されるマルウェアのファイルサーバには、異なるCPUアーキテクチャ向けの別の亜種が存在することも判明しています。
本稿では、入手した検体に基づき、脆弱性悪用、検出の経緯、解析結果、修正パッチ、潜在的なリスクおよび実際の適用例などについて説明します。最後のセクションでは、これらのリスクを軽減する方法について推奨事項を記載しています。
続きを読む本ブログでは2020年11月19日の記事で、脆弱性攻撃ツール「PurpleFox Exploit Kit(PurpleFox EK)」を使用する攻撃者がCloudflare社の正規サービスを悪用してHTTPS経由でランディングページを拡散することで、セキュリティソリューションによる検知を回避していることをお伝えしました。PurpleFoxの背後にいる攻撃者は最新のセキュリティアップデートで一般公開された脆弱性を攻撃手口に取り入れてPurpleFoxの攻撃チェーンを高度化させてきましたが、今回トレンドマイクロでは、近年確認されたPurpleFoxが拡散手法を高めるために古い手法を追加していることを発見しました。本記事で解説するPurpleFox EKは、「wpad」ドメインを使ってWebプロキシの自動検出機能である「WPAD」(Web Proxy Auto-Discovery)を悪用する攻撃手法により、ユーザの利用端末を誘導します。このようなWPAD機能を悪用する手法は約14年前から確認されており、この攻撃を防ぐための取り組みも行われていますが、いまだに有効な攻撃手法である場合があります。WPAD機能ではWebプロキシの設定を任意の場所に設置された設定ファイルから取得します。今回の事例でPurpleFoxは「wpad.id」ドメインに不正な設定ファイルを設置し、取得させる手口を使っていました。「.id」はインドネシアの国別トップレベルドメインであることから、インドネシアの利用者が被害に遭う可能性が高かったものと言えます。トレンドマイクロは、この「wpad.id」ドメインにアクセスした被害者の検出状況を確認するために調査を開始しました。当該調査時点では、他の国のトップレベルドメインにおける影響被害は確認されませんでした。攻撃者はこの手法を用いることで、システム起動時にユーザによる入力情報がなくてもWPAD機能を悪用して設定したURLにアクセスさせることができるため、ゼロクリック攻撃の実装が可能になります。
攻撃者集団「Iron Tiger」による東南アジアのギャンブル企業を標的とした攻撃キャンペーン「Operation DRBControl」が確認されてから1年以上が経過しましたが、この度「Iron Tiger」が引き続きギャンブル業界を狙っている証拠が新たに確認されました。
このブログ記事では、Iron Tigerが攻撃に使用するツールキットが更新され、従来3つのファイルを使用して感染させるマルウェアであった「SysUpdate」が5つのファイルを使用するものへ変更された点について解説します。また、これまでに確認されている類似の「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」から考察される他の攻撃者グループとの関連性について説明します。最後に、Iron Tigerが使用するルートキットについて解説します。中でもカーネルレベルでファイルを隠蔽するために使用されるルートキットは、これまでIron Tigerによる使用が確認されていなかったものです。
続きを読むトレンドマイクロは、情報窃取型マルウェア「CopperStealer」やアドウェア「LNKR」を含む複数の不正プログラムへ連鎖して感染させる海賊版ソフトウェア配布サイトを多数調査しました。これらの検体は通常、ペイ・パー・インストール(Pay Per Install, PPI:インストールごとに費用が支払われるモデル)のアフィリエイトネットワークを介して頒布されます。トレンドマイクロの解析では、弊社が発見したCopperStealerの検体は感染端末の表示言語が中国語に設定されていたり、サンドボックス内で実行あるいはデバッガ内で解析されたりするとすべての不正活動を終了する解析困難化の活動を持っていました。また、このCopperStealerを起点とする攻撃では、以下のような不正活動が感染環境で行われるものとわかりました:
・特定のWebブラウザに保存されたGoogleアカウントや各種SNSなどの認証情報やCookieを取得する
・悪意のあるブラウザ拡張機能をインストールする
・利用者のソーシャルメディア上での情報を取得する
・ブラウザ上から入力された内容を詐取する
・表示されたWebページに広告を注入する
・広告のIDを改変し、広告収入を横取りする