セキュリティ専門家による脅威情報・ニュースをお届けしているトレンドマイクロ セキュリティブログの記事から、2018年10月に公開された記事の中から6本、ご紹介します。
Windowsの正規機能WMICおよびCertUtilを利用しブラジルのユーザを狙うマルウェアを確認
Windowsの2つの正規コマンドラインツール「WMIC(wmic.exe)」および「CertUtil(certutil.exe)」を悪用し、感染PCに不正なファイルをダウンロードするマルウェアが確認されました。WMICはWindowsの管理を担当し、CertUtilはマクロおよび証明書サービス関連の機能を担う正規ツールです。これらの正規ツールは、通常の機能の一部としてファイルのダウンロードに使用されるため、不正活動においても検出回避を目的としてよく利用されます。
WMICおよびCertUtilは、以前からマルウェアによって悪用されてきました。今回の攻撃ではそれらが同時に利用され、さらに検出回避のための挙動が加わっています。
【…続きを読む】
Java Usage Trackerの脆弱性「CVE-2018-3211」を発見、Windows環境で検証
トレンドマイクロは、Javaの機能「Java Usage Tracker(JUT)」を利用することで、任意のファイル作成、攻撃者が指定したパラメータの注入、および上位権限の利用が可能になる脆弱性「CVE-2018-3211」を発見し、Windows環境で検証しました。これらの活動を組み合わせることで、通常はその他のアプリケーションやユーザによるアクセスが制限されているリソースへのアクセスが可能になります。影響を受けるJavaのバージョンは、「Java SE:8u182および11」と「Java SE Embedded:8u181」です。
【…続きを読む】
乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認
通常、フィッシング攻撃では、本物に見える偽メールを利用し、添付した不正ファイルやテキストに埋め込んだ不正リンクを通してユーザの情報を窃取します。このような単純な手口を知っているユーザであれば気付くのは比較的容易です。しかし、2018年9月のスパムメール送信活動では、より巧妙で気づかれにくい形の不正メールが確認されました。この攻撃では、乗っ取ったメールアカウントが利用され、既存スレッドに返信する形でマルウェアが添付された不正メールが送信されました。この不正メールは、進行中の会話の一部となっているため、気付くことがより困難です。ユーザは、手遅れになるまでサイバー攻撃を受けていることに気付くことができないかもしれません。
この攻撃は、2018年前半にTalosによって確認された、オンライン銀行詐欺ツール(バンキングトロジャン)「URSNIF(アースニフ)、別名:GOZI」を拡散するスパムメール送信活動とよく似ています。このスパムメール送信活動では、ボットネット「Dark Cloud」の一部となった乗っ取られたPCが利用され、既存のスレッドに対する返信として不正メールが送信されました。本記事で解説する攻撃は、もしかするとこの活動が継続または変化したものだと考えられます。
2018年10月9日までに収集した情報によると、この攻撃活動は主に北米と欧州に影響を与えていますが、アジアおよび中南米地域でも類似した攻撃が確認されています。また、対象は教育、金融および電力業界のユーザが大半であるものの、不動産、運輸、製造業界、および政府系組織にも影響を与えています。
【…続きを読む】
VBScriptエンジンのメモリ解放後使用脆弱性「CVE-2018-8373」を利用する新しい攻撃を確認
トレンドマイクロは、2018年9月18日、本ブログで8月29日に解説したメモリ解放後使用(Use After Free、UAF)の脆弱性「CVE-2018-8373」を利用する別の攻撃を確認しました。CVE-2018-8373は、比較的新しいバージョンのWindowsに搭載されたInternet Explorer(IE)のVBScriptエンジンに影響を与えます。Microsoftはすでに、2018年8月の月例セキュリティ更新プログラムにおいて、CVE-2018-8373を修正しているため、この脆弱性攻撃は、更新済みのIEに対して無効です。影響を受けるバージョンの詳細はこちらを参照してください。
【…続きを読む】
ボットネットによる拡散機能を備えた暗号化型ランサムウェア「Viro」を確認
トレンドマイクロは、ランサムウェアによる攻撃が2017年には高止まりとなり、時間の経過と共にその手口や標的が多様化していくことを予測していました。2018年前半にはランサムウェアの活動は急減していますが、より巧妙な手口を利用して身代金を要求する攻撃が確認されています。その格好の例が、2018年9月に確認されたボットネットを構築する暗号化型ランサムウェア「Viro」(「RANSOM_VIBOROT.THIAHAH」として検出)です。Viroは、ランサムウェアとボットネットの両方の機能を備えており、米国のユーザに影響を与えました。PCに感染すると、スパムメールによって自身を拡散するボットネットの一部となります。Viroと既知のランサムウェアファミリとの関連は確認されていません。Viroが初めて確認された2018年9月17日は、弊社が、悪名高い暗号化型ランサムウェア「Locky」を模倣したランサムウェアの亜種を解析したちょうど7日後のことでした。
【…続きを読む】
「Locky」を模倣した新種の暗号化型ランサムウェア「PyLocky」について解説
今日の脅威状況において、暗号化型ランサムウェアの活動は前年2017年と比べ顕著な停滞状態にあるとはいえ、現在もサイバー犯罪者の主要な手口の一つとして利用されています。実際、2018年上半期内では、わずかに活動の増加を見せ、セキュリティ対策製品を回避するための微調整により、その活動を維持しています。今回取り上げる「PYLOCKY(パイロッキー)」(「RANSOM_PYLOCKY.A」として検出)に関しては、すでに確立されたランサムウェアファミリを模倣し、それらの悪評に便乗し活動しています。
トレンドマイクロは7月下旬から8月全体を通して、暗号化型ランサムウェア「PyLocky」を拡散するスパムメールの活動の波を確認しました。このランサムウェアは、身代金要求文書において「Locky」になりすましていますが、「PyLocky」と「Locky」の相互の関係性はありません。
【…続きを読む】