通常のサイバー犯罪者は、標的型攻撃の手口、より具体的には一連のツールを模倣し、計算能力を盗用して仮想通貨を発掘する「クリプトジャッキング」のような違法行為から生まれる利益を最大化していると見られています。
(さらに…)
サイバー攻撃キャンペーン「ShadowGate」は、ほぼ2年間にわたって散発的かつ限定的な活動しか確認されていませんでしたが、2019年6月に新しいバージョンの脆弱性攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」を利用して仮想通貨発掘ツールを拡散する活動を開始しました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域にその対象を拡大しています。図1はGreenflash Sundown EKを利用した攻撃の流れです。
![図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ](https://blog.trendmicro.co.jp/wp-content/uploads/2019/07/fig1_shadowgate-infection-chain.png)
図1:「Greenflash Sundown EK」を利用した「ShadowGate」による攻撃の流れ
本記事では2016年の発見から現在にいたるGreenflash Sundown EKの変遷とShadowGateによる最近の活動の詳細について解説します。
続きを読む企業が利用するシステムにおける設定の不備は特に珍しいことではありません。しかしながら、サイバー犯罪者は、そのような設定の不備を、不正な目的のために企業のコンピュータリソースを盗用するための効果的な手段として捉えています。実際、設定の不備はサイバーセキュリティにおける重大な懸念事項の1つとしていて問題視され続けてきました。本記事では、人気のあるオープンソースのDevOpsツール「Docker Engine」のコミュニティ版における、APIの設定不備を狙う攻撃について解説します。この設定の不備により、攻撃者は狙ったコンピュータに不正なコンテナを潜り込ませて、Linuxを対象とするボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.DOFLOO.AA」として検出)を実行することが可能になります。このマルウェアの亜種は、トレンドマイクロが設置したハニーポットから検出されました。
(さらに…)
サイバー犯罪集団「TA505」に関する最新の調査以来、ここ数週間にわたってさまざまな国を狙う同集団の活動が確認されています。TA505は、アラブ首長国連邦(UAE)やサウジアラビアのような中東の国、インド、日本、アルゼンチン、フィリピン、そして韓国のようなその他の国を狙っていることが判明しました。
本記事では、TA505の活動に関する新しい情報と侵入の痕跡(Indicators of Compromise、IoCs)、最新の手口、そして特に2019年6月に確認された活動の手順について解説します。また、今回新しく確認された2つのマルウェアの解析も行いました。
「Gelup」(「Trojan.Win32.GELUP.A」として検出)は6月20日の活動で利用されました。このマルウェアは「ユーザー アカウント制御(UAC)」を回避し、その他の脅威を読み込むローダとして機能します。また、以前の活動で利用された遠隔操作ツール(Remote Access Tool、RAT)「FlawedAmmyy RAT」と同じパッカーを使用しています。「FlowerPippi」(「Backdoor.Win32.FLOWERPIPPI.A」として検出)は、日本、インド、そしてアルゼンチンを狙った活動で利用が確認された新しいバックドア型マルウェアです。GelupおよびFlowerPippiに関する、感染の流れやコマンド&コントロール(C&C)通信を含む詳細な解析結果は技術的概要を参照してください。
続きを読むトレンドマイクロでは常に日本国内へのサイバー攻撃の監視と対応を行っていますが、その対応の中で「モノのインターネット(Internet of Things、IoT)」を狙うマルウェア「Mirai」の新しい亜種の可能性があるマルウェア検体を入手、解析を行いました。この新たなIoTマルウェア検体では、ファイル名や不正コード内の文字列に「Miori」の文字列の使用が見られました。同じ「Miori」を名乗る「Mirai」亜種のIoTマルウェアに関して、トレンドマイクロでは2019年1月のブログ記事でも報告しています。しかし今回確認された新しい亜種は、従来の「Mirai」亜種とは異なる方法で遠隔操作のためのサーバ(C&Cサーバ)と通信を行うことがわかりました。
(さらに…)
トレンドマイクロは、コンテナを狙う不正活動を監視するための取り組みの一環として、APIを露出させたDockerホストを実行するPCをハニーポットとして設置しました。Dockerは、コンテナベースの脅威によって最もよく狙われるシステムのひとつです。このハニーポットを設置して監視した目的は、攻撃者がこのDockerホストを発見し、ユーザが望まないコンテナを展開するために利用することを検出するためでした。最近、ハニーポットの状態を確認したところ、1つのイメージ(コンテナのスナップショット)が既にこの環境に展開されていたことが分かりました。
(さらに…)
モノのインターネット(IoT、internet of things)は、一般家庭や工場と同様に企業の在り方をも変えつつあります。職場における従業員が個人的に所有するIoTデバイスの存在とその利用は、IoTがどのようにして企業や法人に変化を促したかを最も明確に示しています。
(さらに…)
トレンドマイクロは、スパムメールに記載されたリダイレクトURLを利用して拡散するバンキングトロジャン「Trickbot」の亜種(「TrojanSpy.Win32.TRICKBOT.THDEAI」として検出)を確認しました。この亜種は、「url?q=<不正なURL>」のようなクエリ文字列(URLパラメータ)を利用してユーザを不正なURLにリダイレクトします。そして、この特定の事例では、「hxxps://google[.]dm:443/url?q=<TrickbotのダウンロードURL>」のようにリダイレクト元のURLとしてGoogleが利用されました。正規URLからリダイレクトするこの手口は実際にスパムメールが届いた際、Trickbotをブロックする可能性のあるスパムフィルタを回避することに役立ちます。
(さらに…)