イギリスの国家サイバーセキュリティセンター(NCSC)が行った分析によると、ロシア軍参謀本部情報総局(GRU)の支援を受ける標的型サイバー攻撃者グループ「Sandworm」(別称:VOODOO BEAR)との関連性が報告されている高度化したモジュール型ボット「Cyclops Blink」が最近WatchGuard社製のFireboxデバイスを攻撃するために用いられていたことが判明しています。トレンドマイクロは、Asus製ルータを標的とするマルウェアファミリ「Cyclops Blink」の亜種を入手しました。本ブログ記事では、ボット型マルウェア「Cyclops Blink」の亜種が備える技術的機能について解説すると共に、これまでにCyclops Blinkボットネットで確認された150以上の遠隔操作サーバ(C&Cサーバ)の一覧を掲載しています。この一覧は、セキュリティ担当者が自社のネットワーク内で影響を受けているデバイスを検索し、修復プロセスを実施する際にお役立ていただけるよう作成しました。トレンドマイクロは、今回の調査結果をAsus社に共有しました。その後Asus社は、Cyclops Blinkによる攻撃を防止するためのセキュリティ対策チェックリストおよび影響を受けるAsus社製品の一覧を含むセキュリティ情報を作成しました。
続きを読む米国時間2021年12月9日に公開された当時ゼロデイ脆弱性であったJavaのログ出力ライブラリ「Apache Log4j」上に存在する脆弱性「Log4Shell」(CVE-2021-44228)の影響により、Apache HTTP ServerのようなオープンソースのWebサーバを狙うサイバー攻撃が急増しました。攻撃者は、人々がWebサーバに依存していることを利用して、リモートコード実行(RCE)、アクセス制御におけるバイパス、サービス拒否(DoS)攻撃などを行ったり、侵害したサーバを乗っ取って暗号資産(旧:仮想通貨)を不正に採掘(マイニング)したりします。
サイバー攻撃から企業を守るには、ベンダがリリースした修正プログラム(パッチ)を適時適切に展開するだけでは不十分な場合があります。このため、ソフトウェア構成分析(SCA)を用いて、ソフトウェアサプライチェーンの各レイヤに内在する問題・課題を見つけ出し対処することが、2022年には必須となります。
続きを読む「APT36(別称:Earth Karkaddan)」は、政治的な動機により標的型サイバー攻撃を行う犯罪者グループであり、トレンドマイクロは以前にも同グループがインド軍高官や在外公館をターゲットにしていたことを観測し、本ブログで解説しました。このグループ(C-Major作戦、ProjectM、Mythic Leopard、Transparent Tribeとも呼称される)は、ソーシャルエンジニアリングの手法やフィッシングメールを介した誘導手口をエントリポイント(侵入口)として用いることで知られており、侵入後、感染端末内に「Crimson Remote Access Trojan(RAT)」を展開して情報を窃取します。
トレンドマイクロは2021年後半に、Earth Karkaddanグループが好んで用いたWindows端末用マルウェア「Crimson RAT」と設計が酷似しているAndroid端末用マルウェア「CapraRAT」を同グループが使用していることを突き止めました。これらのツールには、機能名、コマンド、性能などで非常に興味深い共通点があり、それらの詳細については、トレンドマイクロの技術論文「Earth Karkaddan APT(英語)」で取り上げています。
今回実施した調査は、2020年1月~2021年9月までに収集されたトレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」のデータに基づいています。
続きを読むクラウド技術は、世界的に新型コロナウイルスが大流行する中、企業のデジタルトランスフォーメーションを加速させるのに役立っています。クラウド技術の信頼性と柔軟性により、コロナ禍の困難な時期にもリモートワークへの迅速な移行が可能になりました。しかし、クラウド技術の迅速な導入は、見落としやエラー、案内されていないクラウドサービスの設定によってもたらされるミス(一般的には設定ミスと総称される)を引き起こす可能性があります。クラウド環境を狙う巧妙なセキュリティ脅威を警戒するのは当然ですが、単純な設定ミスにも注意する必要があります。こうしたことにより、最終的に意図せず企業の機密情報や資産が漏えいする可能性があるためです。
続きを読む2022年2月24日、ロシア軍がウクライナ国内に侵攻したことで勃発した物理的な戦闘は、現在も継続中です。そうした中、地上での物理的な戦闘と並行して、サイバー攻撃においても、個人、攻撃者、さらには国家支援と見られるグループによる活動が懸念されています。こうしたサイバー攻撃については、情報が大量に出回っており、個人や集団の特定だけでなく、その真偽を確かめることが困難な状況にあります。インターネット上で偽情報を拡散させることは容易であり、紛争時において情報やインテリジェンスが果たす重要な役割を考えれば、多くの関係者がそのような活動に走る動機は十分にあるといえます。また、紛争に直接関与していなくても、この状況に便乗する攻撃者が存在する可能性もあります。
このブログ記事では、トレンドマイクロのリサーチチームが検証したいくつかの資料に基づいてサイバー脅威の動向をまとめ、サイバー攻撃に対する防御に有益かつ正確な情報を提供します。なお、今後発生する脅威について随時更新していく予定です。
続きを読むトレンドマイクロは2021年半ばから、非常に実体の見えづらいサイバー諜報活動グループ「Earth Lusca」を追跡調査しています。このグループは、スピアフィッシング(標的型)攻撃や水飲み場型攻撃など、従来のソーシャルエンジニアリングの手法を用いた攻撃キャンペーンを通じて世界中の組織を狙っています。同グループの主な動機はサイバー諜報活動と見られており、本稿執筆時点における被害組織のリストには、政府機関、教育機関、宗教運動団体、香港を拠点とする民主化推進団体や人権団体、新型コロナウイルス感染症(COVID-19)研究機関、報道機関など、企業価値の高い組織が含まれています。ただしギャンブルや暗号資産(旧:仮想通貨)に関連する企業も標的としていることから、Earth Luscaグループは金銭的な動機による活動も行っていると見られています。
続きを読む「Tropic Trooper(別名:Pirate Panda, KeyBoy)」は、トレンドマイクロの調査では、2011年からの長期的な活動を確認しているサイバー諜報活動グループです。特に2020年7月に同グループのものと考えられる興味深い活動を確認して以来、注意深く監視を続けています。トレンドマイクロではこの新たな活動を強調するため「Earth Centaur」と命名しました。本記事でも以降、Earth Centaurグループと呼称します。
続きを読む■ はじめに
本ブログでは2021年11月8日の記事で、脆弱性攻撃ツール「Purple Fox」により構築されたボットネットの仕組みについて概説したほか、初期アクセス時に用いられた手法や関連性の高いバックドア型マルウェアについても一部検証しました。
今回の追跡調査では、Trend Micro Managed XDR(XDR)を介して観測されたPurple Foxの感染チェーンの後期段階、特に、悪意のあるSQL CLRアセンブリを注入(インジェクション)してSQLデータベースに感染したのち、不正活動の持続化やステルス性の高い活動を可能にする手法に焦点を当てました。今回の攻撃で使用されるファイルの多くは、感染システムのディスク上に保存されない点に注意が必要です。これらの不正ファイルは、遠隔操作サーバ(C&Cサーバ)から引き出されるか、暗号化された後、メモリから実行されたのち別のプロセスによって読み込まれます。
続きを読む