2022年1月、マッチングアプリで知り合った人物から不正アプリのインストールが誘導され、アプリをインストールしてしまった場合に連絡先情報などが窃取され、金銭を要求されるなどの脅迫を受けたとの相談が長崎県警察に寄せられました。
トレンドマイクロにて該当アプリケーションの調査を実施した結果、マッチングアプリを装い、連絡先情報などを窃取する機能を持つ不正アプリであることを確認しました。また、不正アプリのインストール対象としては、AndroidおよびiPhone両方を標的としていました。
続きを読む地上でのロシアとウクライナの対立と並行して、サイバー攻撃でも対立が繰り広げられています。ロシアおよびウクライナの双方に対してサイバー攻撃が仕掛けられており、今回、ロシアに対する攻撃として新たにワイパー型マルウェアが確認されました。
2022年3月1日、セキュリティベンダ「MalwareHunterTeam」による新たなランサムウェアの登場を示唆するツイートが注意を引き、トレンドマイクロでも入手した検体を解析しました。このマルウェアは、開発者によって「RURansom」と名付けられており、さらに複数の検体が確認されました。ただしその名称とは裏腹に、暗号化されたファイルを不可逆的に破壊することから、このマルウェアは、ランサムウェアではなくワイパー型マルウェアであることが明らかとなりました。
続きを読む本ブログ記事では2021年にトレンドマイクロが観測したモジュール型ローダ「Buer Loader」に関連する攻撃活動やキャンペーンについて概説します。詳細はトレンドマイクロの技術論文「An Analysis of Buer Loader(英語)」をご参照ください。Buer Loaderは2019年に非常に競争力のある価格でアンダーグラウンドマーケット(闇市場)に参入したことで知られており、マルウェアをサービスとして提供する「Malware as a Service(MaaS)」の一つです。現在Buer Loaderは十分にその地位を確立し、攻撃者によって積極的に利用され続けているように見えます。
続きを読む「APT36(別称:Earth Karkaddan)」は、政治的な動機により標的型サイバー攻撃を行う犯罪者グループであり、トレンドマイクロは以前にも同グループがインド軍高官や在外公館をターゲットにしていたことを観測し、本ブログで解説しました。このグループ(C-Major作戦、ProjectM、Mythic Leopard、Transparent Tribeとも呼称される)は、ソーシャルエンジニアリングの手法やフィッシングメールを介した誘導手口をエントリポイント(侵入口)として用いることで知られており、侵入後、感染端末内に「Crimson Remote Access Trojan(RAT)」を展開して情報を窃取します。
トレンドマイクロは2021年後半に、Earth Karkaddanグループが好んで用いたWindows端末用マルウェア「Crimson RAT」と設計が酷似しているAndroid端末用マルウェア「CapraRAT」を同グループが使用していることを突き止めました。これらのツールには、機能名、コマンド、性能などで非常に興味深い共通点があり、それらの詳細については、トレンドマイクロの技術論文「Earth Karkaddan APT(英語)」で取り上げています。
今回実施した調査は、2020年1月~2021年9月までに収集されたトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」のデータに基づいています。
続きを読むクラウド技術は、世界的に新型コロナウイルスが大流行する中、企業のデジタルトランスフォーメーションを加速させるのに役立っています。クラウド技術の信頼性と柔軟性により、コロナ禍の困難な時期にもリモートワークへの迅速な移行が可能になりました。しかし、クラウド技術の迅速な導入は、見落としやエラー、案内されていないクラウドサービスの設定によってもたらされるミス(一般的には設定ミスと総称される)を引き起こす可能性があります。クラウド環境を狙う巧妙なセキュリティ脅威を警戒するのは当然ですが、単純な設定ミスにも注意する必要があります。こうしたことにより、最終的に意図せず企業の機密情報や資産が漏えいする可能性があるためです。
続きを読むPolKit(旧称「Policy Kit」)は、Unix系OS内でシステム全体のポリシーと権限を処理するコンポーネントであり、非特権プロセスと特権プロセス間の通信を行えるようにするものです。PolKitのコマンドラインツール「pkexec」は、主要なLinuxディストリビューション内にデフォルトで同梱されており、通常は特権昇格させてコマンドを実行する際に用いられます。また、このコンポーネントを使用することで、許可されたユーザは別のユーザ(通常「root」)としてプログラムを実行することもできます。この機能は、Windowsのコマンドラインツール「RunAs」と類似しています。
続きを読む2022年2月24日、ロシア軍がウクライナ国内に侵攻したことで勃発した物理的な戦闘は、現在も継続中です。そうした中、地上での物理的な戦闘と並行して、サイバー攻撃においても、個人、攻撃者、さらには国家支援と見られるグループによる活動が懸念されています。こうしたサイバー攻撃については、情報が大量に出回っており、個人や集団の特定だけでなく、その真偽を確かめることが困難な状況にあります。インターネット上で偽情報を拡散させることは容易であり、紛争時において情報やインテリジェンスが果たす重要な役割を考えれば、多くの関係者がそのような活動に走る動機は十分にあるといえます。また、紛争に直接関与していなくても、この状況に便乗する攻撃者が存在する可能性もあります。
このブログ記事では、トレンドマイクロのリサーチチームが検証したいくつかの資料に基づいてサイバー脅威の動向をまとめ、サイバー攻撃に対する防御に有益かつ正確な情報を提供します。なお、今後発生する脅威について随時更新していく予定です。
続きを読むPovlsomware(Ransom.MSIL.POVLSOM.THBAOBAなどとして検出)は概念実証(PoC)の目的で作成されたランサムウェアであり、2020年11月にGithub上で公開されたものです。Githubのページによると、セキュリティ製品のランサムウェア防御機能を「安全に」テストする目的で使用されると述べられています。Povlsomwareは現時点ではそれほど注目を集めておらず、話題として取り上げているサイトが2つか3つある程度です。しかしながら、その特徴には興味深い点がいくつかあります。特に、商用のペネトレーションツールであり、RyukやDoppelPaymerなどのランサムウェアファミリにも悪用されているCobalt Strikeとの互換性は注目に値します。この互換性により、一見シンプルな感染ルーチンが示す以上の能力をランサムウェアに与えています。さらに、この不正プログラムはオープンソースであるため、誰もが変更を加え、攻撃チェーンの一部として使用できます。