トレンドマイクロは、2013年9月中旬、「EvilGrab」と呼ばれる不正プログラムを利用した標的型攻撃について報告しました。そして、この攻撃の主な標的となっていたのは、中国および日本でした。この「EvilGrab」による標的型攻撃がいまだ続く中、弊社は、この不正プログラムのバイナリ生成に利用する作成ツール(ビルダー)を確認しました。
続きを読む持続的標的型攻撃の流れは、「1. 事前調査」「2. 初期潜入」「3. C&C通信」「4. 情報探索」「5. 情報集約」そして「6. 情報送出」の 6段階に分けることができます。このうち第4段階の「情報探索」の攻撃では、同一の「ローカル・エリア・ネットワーク(LAN)」上の他の PC へのアクセスを試みます。この攻撃を達成させる 1つの有用な攻撃ツールが「ARPスプーフィング」です。「アドレス解決プロトコル(Address Resolution Protocol, ARP)」と呼ばれる規則の特性を悪用し、偽った情報を伝えるこの攻撃は、他の PC にバックドア型不正プログラムを仕掛けるだけでなく、情報を収集をするさまざまな攻撃を実行するのに利用できます。トレンドマイクロは、2013年9月、ARPスプーフィングを利用した攻撃を自動化するハッキングツールを確認。この種の攻撃を利用し、Webサイトへの iframe の挿入や偽のソフトウェア更新の通知、SSL接続の妨害も確認しています。
続きを読むMicrosoft は、2013年9月10日(米国時間)、9月の定例セキュリティ情報を公開しましたが、それから間もない 1週間後の 9月17日、同社は、Internet Explorer(IE)に存在する未修正の脆弱性「CVE-2013-3893」を確認したことを受け、Microsoft Fix it ソリューション「CVE-2013-3893 MSHTML Shim の回避策」を緊急リリースしました。また、このゼロデイ脆弱性は、特定の標的型攻撃で実際に利用されていることを確認したことにも言及しています。
続きを読むトレンドマイクロでは、これまで法的機関や各セキュリティ関係者と協力して、サイバー犯罪関連捜査に何度も貢献してきました。
・明らかになった巨大ボットネットの正体 - 史上最大規模のサイバー犯罪を摘発
/archives/4600
・警察を装ったランサムウェアの主犯格を逮捕
/archives/6689
今回、台湾の犯罪捜査局である「内政部警政署刑事警察局(Taiwan Criminal Investigation Bureau(CIB))」は、トレンドマイクロの協力の下、2013年4月下旬に発生した標的型攻撃による個人情報窃取事件を解決し、CIB により攻撃者の 1人が逮捕されることになりました。この標的型攻撃には、「Remote Access Tool(RAT)」として悪名高い「Gh0st RAT」が関与していました。このRAT は、トレンドマイクロでは「BKDR_GHOST」または「TROJ_GHOST」として検出され、標的型攻撃において頻繁に用いられていることで知られていますが、攻撃者だけでなくサイバー犯罪者からも幅広く利用されています。
続きを読む「TrendLabs(トレンドラボ)」では、自身の活動を隠ぺいさせる目的で正規のアプリケーションを悪用する「PoisonIvy」の検体を入手しました。「BKDR_POISON.BTA」として検出される ”newdev.dll” は、これまでの PoisonIvy が用いた手法と異なり、「DLLプリロード攻撃(別名:バイナリの植え付け)」として知られる手法を利用します。DLLプリロード攻撃は、実行された正規アプリが同じフォルダに存在する正規ファイルの同名ファイルを読み込んでしまうことを狙ったものです。これにより、ユーザは正規アプリや無害な文章ファイルを開いたつもりでも、その裏で不正プログラムが実行されてしまいます。
続きを読むトレンドマイクロは、2013年2月下旬、「Remote Access Tool(RAT)」である「RARSTONE」について本ブログで報告しました。このRARSTONE は、同RATより古くから知られている「PlugX」と類似した特徴をいくつか備えています。そして、同年4月、ソーシャルエンジニアリングの手口として「ボストン・マラソン同時爆破事件」に便乗した標的型攻撃において、このRATが利用されていました。
続きを読む2013年3月26日に公開したブログ記事では、標的型攻撃において攻撃者がいかに優位な立場にあるかということと、攻撃を適切に対処するためにこうした事実を受け入れることがいかに重要であるか、ということについて説明しました。そしてここからが課題となるところです。攻撃者が大きな支配力を握っていることを理解した我々は、ここから何をすべきなのでしょうか。
続きを読む