トレンドマイクロでは、ビデオ会議アプリ「Zoom」の正規インストーラとマルウェアをバンドルし、Zoomを利用したいユーザをだまして不正にコインマイナーをインストールさせようとするサイバー犯罪者の活動を確認しました。新型コロナウイルス(COVID-19)の蔓延に対する懸念が高まっている中、多くの企業が在宅勤務に移行しています。サイバー犯罪者はこのような最近の状況に乗じ、テレワークには欠かせないビデオ会議アプリに便乗してマルウェアを拡散させようとしているものと言えます。この脅威について、トレンドマイクロでは既にZoom社と連絡をとり、適切な対応についての協力を行っています。
「Gamaredon(ガマレドン)」は2013年頃から活動していると言われる、標的型攻撃のグループです。このグループはこれまで、ウクライナの政府機関に対して集中的にサイバー攻撃を仕掛けてきたことで知られています。しかしトレンドマイクロでは2020年3月、Gamaredonのものと思われるマルウェアを添付したメールが日本国内において複数回着弾するのを観測しました。また、ハンガリー等欧州諸国にも同様のマルウェアが着弾した可能性があります。Gamaredonは2018年秋頃から活発化し、2019年夏以降はさらに活発化しているとみられ、今回Gamaredonが活発化する中で日本も攻撃対象に含められたのか、あるいは偶然に「流れ弾」が着弾しただけであるかの判断には至っていません。ただし、ワーストケース(=日本が攻撃対象に含まれたこと)を想定し、このブログ記事ではGamaredonとその攻撃手法について報告します。
続きを読む感染端末の近隣にある無線LAN(Wi-Fiネットワーク)に侵入して拡散する「EMOTET(エモテット)」の新しい亜種が確認されました。この拡散手法は、通常スパムメールによって拡散するこれまでのEMOTETの典型から外れています。ただし、EMOTETはこれまでも、その時々に活動を変化させてきた過去があります。EMOTETは、2014年、「TrojanSpy.Win32.EMOTET.THIBEAI」としてトレンドマイクロのリサーチャによって初めて確認されました。当初は、感染コンピュータから個人情報を窃取する「バンキングトロジャン(オンライン銀行詐欺ツール)」でした。EMOTETはこれまで、新型コロナウイルス(2019-nCoV)のような注目のニュースや感謝祭などのイベントに便乗したスパムメールを利用して拡散してきました。EMOTETの感染によって、独フランクフルトのITネットワークがシャットダウンを余儀なくされた事例も報告されています。最近では、話題のニュース記事のテキストを使用して検出回避を図るEMOTETも見つかっています。そして今回、確認されたEMOTETの亜種は、WindowsのwlanAPIインターフェイスの機能を使い、感染端末から近隣のWi-Fiネットワークへ拡散します。
続きを読む