トレンドマイクロは、不正広告キャンペーン「ProMediads」で、新しい脆弱性攻撃ツール(エクスプロイトキット)を利用した活動を確認しました。弊社は、この新しいエクスプロイトキットを「Sundown-Pirate Exploit Kit(Sundown-Pirate EK)」と名付けました。Sundown-Pirate EK は、以前から存在するエクスプロイトキット複数を元にして新しく作成されたものです。
続きを読むサイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。
BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。
本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。
続きを読む本ブログでも既報の通り、欧州を中心に暗号化型ランサムウェア「PETYA(ペトヤまたはペチャ)」の亜種による大規模な攻撃が確認されています。トレンドマイクロでは今回の事例で使用された PETYAの活動について、より詳細な解析を行いました。その結果、「MS17-010」脆弱性(通称:Eternal Blue)の利用以外にも、PsExec や WMICと言ったマイクロソフトが提供する正規ツールを利用したネットワークワーム活動など、PETYA が持つ非常に巧妙な活動が明らかになりました。
続きを読む暗号化型ランサムウェア「PETYA(ペトヤまたはペチャ)」の亜種による大規模な攻撃が、欧州を中心に確認されています。トレンドマイクロではこの亜種が、攻撃経路において脆弱性攻撃ツール「EternalBlue」と「PsExec」の両方を利用することを確認するとともに、「RANSOM_PETYA.TH627」、「RANSOM_PETYA.SMA」などとして既に検出対応しています。法人および個人の皆さんは、下記の対策を取り、感染拡大を防ぐようお願いします。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が暗号化型ランサムウェア「Erebus(エレブス)(「RANSOM_ELFEREBUS.A」として検出)」による攻撃を受け、同社が管理する153台のLinuxサーバが感染し、ホストしていた3,400以上の企業のWebサイトへの影響が確認されました。
NAYANA は、6月12日、同社の Web サイトで告知し、管理するすべてのサーバのファイルを復号するために、攻撃者が「Bitcoin(ビットコイン、BTC)」で 550BTC(162万米ドル)にも上る高額な身代金を要求していることを明らかにしました。そして6 月 14 日の告知で、攻撃者との交渉の結果、身代金が 397.6BTC(2017 年 6 月 19 日の時点でおよそ 101 万米ドルに相当)に減額され、6 月 17日の告知で3 回に分けた支払いのうち、既に 2 度目の支払いを完了していることを発表しました。また同社は、6 月 18 日、50 台ごとに 3 次に分けて実施されるサーバ復旧作業の計画と進行状況を公開しています。2次のサーバのいくつかではデータベース(DB)エラーが発生しているとのことです。1 次と 2 次のサーバ復旧が成功した後で、3回目の支払いが行われる予定です。
金額は異なるものの、今回の事例は、身代金を支払ったにも関わらずファイルを完全に修復することができず、2 度目の身代金を請求されたカンザス州の病院の事例を思い起こさせます。
2016年9月に初めて確認されたErebusは、「malvertisement(不正広告)」によって拡散し、システムに対する未許可の変更を防ぐWindowsの機能「User Account Control(UAD)」を回避する手法を利用していました。本記事では、Linux版Erebusについて、現時点で判明している注目すべき手法について解説します。
続きを読む「RAMNIT(ラムニット)」は、以前からネットバンキングの認証情報を詐取し最終的に不正送金を行う「オンライン銀行詐欺ツール(バンキングトロジャン)」として知られています。これまで RAMNIT は日本ではなく、海外のネットバンキングを標的としてきました。しかし、2017年に入り日本を標的とする動きをみせており、これまでの調査では国内クレジットカード会社 12社のサイトが攻撃対象となっていることが確認されました。海外で既に大きな脅威となっている不正プログラムが、日本にも攻撃の矛先を向けてきた事例として注意が必要です。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が管理する 153 台の Linux サーバが暗号化型ランサムウェア「Erebus(エレブス)」(「RANSOM_ELFEREBUS.A」として検出)の亜種に感染したことが判明し、大きな注目を集めています。この攻撃により、NAYANA のサービスを利用するおよそ3,400 の企業の Web サイト、データベース、マルチメディアファイルが影響を受けています。
続きを読む2016 年はランサムウェアが世界中で猛威を振るい、個人・法人を問わず多くのユーザがその脅威にさらされました。トレンドマイクロが 2016 年 8 月に国内法人ユーザを対象に実施した「企業におけるランサムウェア実態調査 2016 」の結果からも、約 4 人に 1 人が「自組織がランサムウェアの攻撃に遭ったことがある」と回答しており、深刻な実状が浮き彫りになっています。2017 年に入っても「WannaCry」による被害が世界中で発生するなど、引き続きランサムウェアは法人組織にとって深刻な脅威です。今回はこうしたランサムウェアの歴史を振り返るとともに、最新の脅威状況を踏まえ、今後予測される動向について解説します。
続きを読むトレンドマイクロは、2017 年 5 月上旬、1000 機種以上のネットワークカメラ(IP カメラ)を標的にIoT ボットネットを構築するマルウェア「PERSIRAI」(「ELF_PERSIRAI.A」として検出)」に関する記事を公開しました。そして、オンライン検索エンジン「Shodan」を利用した弊社の調査によると、現在、カスタム http サーバを備えた IP カメラの 64 %がこの PERSIRAI に感染していることが判明しました。PERSIRAI が6割以上を占める中、IP カメラは格好の標的であり、多くのマルウェアが利用の機会を狙っています。
続きを読む