2020年にトレンドマイクロは、Xcodeプロジェクトに感染してMacユーザを攻撃するマルウェア「XCSSET」を初めて発見しました。当初は単発の事例で使用されたマルウェアファミリとして報告しましたが、今回の調査結果を踏まえ、現在も攻撃活動を続けているキャンペーンに分類しました。本ブログ記事では、XCSSETが最新のmacOS11やM1チップ搭載端末を含めARM64およびx86_64の両方のMac上で動作するように適合した方法やその他の注目すべきペイロードの変更点などの新たな調査結果について詳説します。
続きを読むこの数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
昨年2019年、トレンドマイクロは高い人気を集めるInstagramアカウントのプロフィールを乗っ取る攻撃を確認しました。そして2020年10月現在、同様の手口を利用する攻撃が再び増加しています。今回の事例では、攻撃の目的である「アカウントの乗っ取り」は同じでも、新たな誘導手口が用いられています。どちらの攻撃もトルコ語を使用するハッカー集団が関与しており、Instagramからの正規メッセージに偽装したフィッシングメールを介して認証情報を窃取したのちInstagramアカウントを乗っ取っています。
2020年に入っても、ランサムウェアは新たなファミリや攻撃手法、標的対象を次々と生み出し、今なお大きな脅威であり続けています。今回公開したトレンドマイクロの「2020年上半期セキュリティラウンドアップ」でも、「ランサムウェアの新たな戦略」として報告しておりますが、レポートではお伝えしきれなかった動向もありました。本記事では、新たに活発なメール経由の拡散が見られたランサムウェアファミリ「Avaddon(アヴァドン)」、一部のランサムウェアの亜種が実行する新たな検出回避手法、ランサムウェア攻撃が影響を与えた業界、検出数が最も多いランサムウェアファミリなどのランサムウェア動向をまとめて解説します。
トレンドマイクロは、サイバー攻撃グループ「Earth Empusa(別名POISON CARPあるいはEvil Eye)」の追跡調査中、新しいAndroid端末向け不正アプリ(スパイウェア)「ActionSpy」(「AndroidOS_ActionSpy.HRX」として検出)を確認しました。Earth Empusa は、2020年第1四半期にはチベットとトルコのユーザをターゲットとして活動し、その後、攻撃対象に台湾を加えたものとされています。また、Earth Empusaによる攻撃キャンペーンは、AndroidとiOS双方のモバイル端末を攻撃対象とし、ウイグル語を使用するユーザを狙うことが報告されています。この攻撃グループは水飲み場攻撃を利用することで知られていましたが、トレンドマイクロでは、フィッシング攻撃の誘導によってマルウェアを配信する攻撃手法も確認しました。 (さらに…)
続きを読むトレンドマイクロでは、オープンソースソフトである「Salt」の脆弱性を利用する不正コインマイナーを確認しました。Saltはソフトウェア開発企業「SaltStack」による、イベント駆動型のIT自動化やリモートでのタスク実行、および構成管理を可能にするオープンソースのソフトウェアです。Saltの管理フレームワークは、多くのデータセンターやクラウドサーバで使用されています。また、Saltはインフラをコード化して管理する「IaC (Infrastructure as Code)」を実現する構成管理ツールでもあり、DevOpsでも利用されます。今回利用されたSaltの2つの脆弱性は、2020年3月中旬、サイバーセキュリティ企業「F-Secure」のリサーチャによって公開されたものです。一つは、認証バイパスの脆弱性である「CVE-2020-11651」、もう一つはディレクトリトラバーサルの脆弱性である「CVE-2020-11652」です。これらの脆弱性は認証されていないリモートの攻撃者によって悪用される可能性があり、Salt Master 2019.2.3 と3000.1およびそれ以前のバージョンが影響を受けます。なお、これらの脆弱性に対処するために、SaltStackによるセキュリティ更新情報が既にリリースされています。
トレンドマイクロでは、このSaltに影響を与える2つの脆弱性とその修正パッチ、そして脆弱性を悪用するコインマイナーについて調査しました。 (さらに…)
続きを読む多くの脅威は外部からの電子メールとして侵入する傾向が、MDR(Managed Detection and Response)を通じて明らかになっています。脅威の侵入のための攻撃メールには通常、フィッシングサイトへのリンク、有害な添付ファイル、そして本文には受信者を騙して操ろうとする指示の内容が含まれていることがあります。しかしトレンドマイクロがメールのメタデータを毎日調査する中で、受信のメールボックスからではなく、ユーザ自身の送信済みアイテムフォルダから脅威が検出されることもよくあります。これは、自身のメールアカウントが乗っ取られたことにユーザが気づいておらず、攻撃者によるメール送信の踏み台にされた可能性を示唆します。そのような事例の一つとして、ある侵害されたメールが、「QAKBOT」を拡散するメールに関係していることを確認しました。 (さらに…)
続きを読むトレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap(オーバートラップ作戦)」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告(マルバタイジング)経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。
- URLリンクを含んだメールにより、ネットバンキングのWebサイトを偽装したフィッシングページへ利用者を誘導
- URLリンクを含んだメールにより、不正サイトへ誘導し、ダウンロードされるファイル(実はマルウェアの実行ファイル)を実行させる
- 不正広告経由でエクスプロイトキットを使用しマルウェアを配信
本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン(オンライン銀行詐欺ツール)「Cinobi(シノビ)」(トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出)について解説します。 (さらに…)
続きを読む