脅威の侵入口となる脆弱性は、比較的新しいものであっても脆弱性悪用ツール(エクスプロイト)を駆使する攻撃キャンペーンの格好の標的となります。本稿では、マルウェアがどのようにサーバの脆弱性を狙っているかについて解説します。具体的には、Atlassian Confluenceサーバに存在するWebwork Object-Graph Navigation Language(OGNL)インジェクションの脆弱性(CVE-2021-26084)およびOracle WebLogicサーバに存在する3つの脆弱性(CVE-2020-14882、CVE-2020-14750、CVE-2020-14883)への調査結果について説明します。また、企業や組織のセキュリティ部門が自社のワークロードのセキュリティを確保するための推奨事項についても説明します。
続きを読む本ブログでは2021年11月30日の記事で、侵害されたDocker Hubアカウントが暗号資産(旧仮想通貨)の採掘活動(マイニング)に悪用されていたほか、これらの活動がサイバー犯罪者グループ「TeamTNT」に関連していたことを明らかにしました。それらのアカウントは現在削除されていますが、トレンドマイクロは、これらの侵害されたアカウントに関連するTeamTNTの活動を追跡調査することができました。
トレンドマイクロは、上記の活動に加えて、同グループが異なる環境内で実施したいくつかの不正な活動を確認しました。そのうちの1つは、Weaveworks社の提供する正規ツール「Weave Scope」を悪用して、展開されたコンテナの監視・制御を行っていたことです。
続きを読むトレンドマイクロでは、情報窃取型マルウェア「BazarLoader」(トレンドマイクロ製品では「TrojanSpy.Win64.BAZARLOADER」、「TrojanSpy.Win64.BAZARLOADER」、「Backdoor.Win64.BAZARLOADER」として検出)を用いたキャンペーンの監視を続けています。情報セキュリティフォーラムは、2021年第3四半期にBazarLoaderの検出数が急増したことを報告していますが、トレンドマイクロは、攻撃者がデータの窃取やランサムウェア攻撃に悪用するために、既存の配信手法に新たな到達メカニズムを2つ追加していたことを発見しました。
そのうちの1つは、攻撃者が正規プログラムにBazarLoaderを同梱するために侵害されたソフトウェアインストーラを用いるというものです。もう1つは、Windowsショートカットファイル(.LNK)とダイナミックリンクライブラリ(.DLL)のペイロードを含むISOファイルを使用するというものです。トレンドマイクロは、BazarLoaderの最も検出数の多い地域がアメリカ大陸であることを観測しました。BazarLoaderの感染チェーンやキャンペーンに関する技術的分析や洞察については、トレンドマイクロの技術論文「BazarLoader Looking In: Analyzing the Infection Chains, Stages, and Campaigns(英語)」をご確認ください。
続きを読む【追記情報:2021年12月21日(火)】Log4j2の新バージョン2.17.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。その他、トレンドマイクロ製品による保護の内容の更新を追記しました。
【追記情報:2021年12月16日(木)】Log4j2の新バージョン2.16.0がリリースされています。影響を受ける環境をお持ちの方は、出来る限り早くこのライブラリを更新することを検討してください。
【追記情報:2021年12月15日(水)】トレンドマイクロ製品による保護の内容の更新を追記しました。
【追記情報:2021年12月14日(火)】トレンドマイクロ製品による保護の内容の更新、およびトレンドマイクロ製品によるデモ動画(英語)のリンクを追記しました。
【追記情報:2021年12月13日(月)】一般的な緩和策の詳細、およびトレンドマイクロ製品による保護の内容を追記しました。
【追記情報:2021年12月12日(日)】当該脆弱性の詳細情報と検知状況を追記しました。
当該記事の内容は2021年12月21日(火)時点の情報をもとにしており、今後更新される可能性があります。情報に更新があった場合は本記事を適宜更新いたします。
米国時間2021年12月9日、Apache Log4j2ログ出力ライブラリの複数のバージョンに影響を与える深刻なゼロデイ脆弱性情報が公開されました。CVE-2021-44228として登録されたこの脆弱性は、様々なブログやレポートで「Log4Shell」と呼ばれています。この脆弱性が悪用されると、影響を受ける環境で特定の文字列をログに記録することにより、任意のコードを実行(RCE:Remote Code Execution)される可能性があります。
続きを読むトレンドマイクロは最近の調査で、Atlassian社が運営する社内情報共有ツール「Confluence」に内在するリモートコード実行(RCE)の脆弱性「CVE-2021-26084」を、暗号資産(旧仮想通貨)を採掘するコインマイナー(マイニングマルウェア)「z0Miner」が悪用していることを発見しました。この脆弱性は2021年8月にAtlassian社によって公開されたものです。暗号資産市場の人気が高まっていることから、トレンドマイクロは、z0Minerのようなコインマイナーの背後にいるマルウェア開発者が感染システム内で足場を築くために用いる技術や侵入経路を常にアップデートしていると予想しています。
z0Minerは2020年末にOracle WebLogic Serverの脆弱性「CVE-2020-14882」を悪用していることで最初に観測されました。以降z0Minerは、オープンソースの全文検索エンジン「ElasticSearch」に内在するセキュリティ上の弱点(バグ)「CVE-2015-1427」など、権限を必要としない様々なリモートコード実行の脆弱性を悪用して注目を集めています。
続きを読む本ブログでは、ランサムウェア「Cring」の攻撃が国内で拡大する状況であったことを、2021年5月の記事でお伝えしました。その際のCringの攻撃活動では初期アクセスを取得するために、安全性の低いリモートデスクトップ(RDP)機能、または仮想プライベートネットワーク(VPN)の脆弱性が悪用されていました。そして今回、CringはWebアプリケーションサーバ「Adobe ColdFusion 9」(11年前のバージョン)に内在する脆弱性を突く攻撃に用いられた脅威として再び注目されており、トレンドマイクロでもその攻撃を確認しました。本ブログ記事では、Cringの攻撃手法で用いられている技術および最も被害を受けている地域・業界について報告いたします。トレンドマイクロ製品では、Cring本体の実行ファイルを「Ransom.Win32.CRING.C」などとして、C#ベースで作成されたCringの検体を「Ransom.MSIL.CRYNG.A」などとして検出します。
■ Cring攻撃で用いられる技術
![図1:Cring攻撃の感染チェーン](https://blog.trendmicro.co.jp/wp-content/uploads/2021/10/図1:Cring攻撃の感染チェーン.png)
図1:Cring攻撃の感染チェーン
続きを読む■ はじめに
トレンドマイクロは、サイバー諜報活動集団「Confucius」を追跡調査する中で、スパイウェア「Pegasus」の名前を誘導手口に利用する新たな標的型攻撃(スピアフィッシング)キャンペーンを発見しました。このキャンペーンでは、ファイルスティーラをダウンロードさせるために悪意のあるドキュメントを開くようメール受信者を誘導する手口が確認されています。国際人権NGO「Amnesty International」などの共同調査により、イスラエル企業「NSO Group」が開発したスパイウェアPegasusは、11カ国の高官を標的とするために使用されていることが明らかとなりました。
本ブログ記事では、新たな標的型攻撃キャンペーンで用いられた複数の誘導手口および使用されたファイルスティーラの解析結果をご紹介します。
続きを読む「豪州サイバーセキュリティセンター(ACSC)」は2021年8月、ランサムウェア「LockBit」を操るサイバー犯罪者グループが新たに「LockBit 2.0」として再び活動を活発化させていることを報告しました。この報告では、今回の攻撃活動において標的となる企業の数が増加し、「Ryuk」や「Egregor」などの暴露型ランサムウェアファミリの影響を受けたと見られる二重脅迫の手口が組み込まれていることが示されています。本記事では、このLockBit 2.0を使用する新たなランサムウェア攻撃についてトレンドマイクロの調査結果をまとめます。トレンドマイクロでは既に日本国内でもLockBitランサムウェアによる被害を複数確認しており、今後の拡大が懸念されます。
![図1:ランサムウェアLockBitの検出台数推移(トレンドマイクロ調べ)](https://blog.trendmicro.co.jp/wp-content/uploads/2021/08/図1:ランサムウェアLockBitの検出台数推移(トレンドマイクロ調べ).png)
Linuxを標的とする脅威の増加は、「Windows以外のOSはマルウェアに感染しにくい」といった俗説を覆しました。Linuxが攻撃者に狙われるようになると、Ngrokのようなローカル環境で実行しているアプリケーションを外部公開するサービスを悪用したり、競合する別のマルウェアを強制停止させる機能を利用したりと、脅威が高度化していく様子が見られるようになりました。
本記事では、Linuxシステムを標的とする攻撃者の間で新たに採用されている手口について解説します。今回トレンドマイクロでは、Infrastructure as Code(IaC)ツールを悪用する手口を特定しました。これはマルウェアの拡散にIaCツールの悪用が確認された初のケースと言えます。また今回解説する手口の中には、Socks5プロトコルを使用したプロキシ経由のネットワークを介したTor(The Onion Router)の使用、正規DevOpsツールの悪用、アーキテクチャに応じた後続のマルウェア検体のダウンロード、競合する暗号資産採掘ツール(コインマイナー)の削除や無効化のほか、マルウェア検出や解析を回避する機能が含まれます。
続きを読む