ファイア・アイは今年7月、「APT10」(別名:MenuPass)と思われるグループによる、日本のメディア業界を標的にしたアクティビティを検知・阻止しました。APT10は、ファイア・アイが2009年より追跡している中国のサイバー・スパイ・グループで、これまでも日本の企業・組織を標的としてきました。今回の攻撃キャンペーンでは、UPPERCUTバックドアをインストールする、悪意ある文書を添付したスピアフィッシング・メールが、日本のメディア業界におけるさまざまな企業・団体に送付されました。このバックドアは、コミュニティではANEL の名で知られており、最新バージョンが発表されるまでは、ベータ版またはRC(リリース候補版)の形で提供されていました。本ブログでは、バージョン間の更新内容や差異について分析しています。 攻撃の概要 最初の攻撃ベクトルでは、悪意あるVBAマクロを格納したMicrosoft
Summary Cisco Talos has identified a highly targeted campaign against 13 iPhones which appears to be focused on India. The attacker deployed an open-source mobile device management (MDM) system to control enrolled devices. At this time, we don't know how the attacker managed to enroll the targeted devices. Enrollment could be done through physical access to the devices, or most likely by using soc
2018年1月17日頃、文部科学省に偽装した不正なメールが送信されていたことが一部で確認されています[1]。このメールにはURLが記載されており、アクセスするとマルウエアTSCookieがダウンロードされました。(トレンドマイクロ社はこのマルウエアをPLEADと呼んでいます[2]。PLEADは、攻撃キャンペーン名として使われることもあるため、ここではこのマルウエアをTSCookieと記載します。)TSCookieは、2015年頃から確認されており、BlackTech[3]と呼ばれる攻撃グループとの関連が疑われています。JPCERT/CCではこのマルウエアを使用した攻撃グループが、過去に日本の組織をターゲットに標的型攻撃を行っていることを確認しています。 今回は、TSCookieの詳細について紹介します。 TSCookieの概要 図1は、TSCookie実行時の動作の流れを示しています。 図
前回の分析センターだより では攻撃グループBlackTech[1]が使用していると考えられるマルウエアTSCookie について紹介しました。この攻撃グループはその他にもPLEADと呼ばれるマルウエアを使用することが分かっています。(PLEADは複数のマルウエア種別名(TSCookieを含む)とそのマルウエアを使用した攻撃キャンペーン名として使用されています[2]。ここではPLEADをTSCookieとは異なるマルウエア種別名として使用します。)PLEADにはRATタイプと、ダウンローダタイプ(以降、PLEADダウンローダと記載する)が存在します。RATタイプは複数のコマンドを持ち、命令を受信することによって動作します。(詳しくは、LAC社が公開しているブログ[3]の「攻撃手口3」をご覧ください。)PLEADダウンローダは、TSCookieと同じくモジュールをダウンロードし、メモリ上で実行
マルウエアの中にはマルチプラットフォームで動作することを意図して作成されたものが存在し、その際に使用されるプログラミング言語として代表的なものがJavaです。たとえば、以前分析センターだよりで紹介したAdwindはJavaで作成されたマルウエアで、Windows以外のOSでも動作します。ご存知の通り、Java以外にもマルチプラットフォームで動作することを想定したプログラミング言語は存在し、Golangもその1つです。Javaで作成されたマルウエアに比べると少ないですが、Golangで作成されたものも確認されています。たとえば、Linuxに感染するマルウエアとして有名なMiraiもコントローラーにはGolangが使用されています。 今回は、JPCERT/CC で確認したマルウエアWellMessについて紹介します。WellMessは、Golangで作成され、クロスコンパイルによってLinux
D-Link and Changing Information Technologies code-signing certificates stolen and abused by highly skilled cyberespionage group focused on East Asia, particularly Taiwan ESET researchers have discovered a new malware campaign misusing stolen digital certificates. We spotted this malware campaign when our systems marked several files as suspicious. Interestingly, the flagged files were digitally si
運営者情報本サイトは、日本最大級暗号資産取引所・販売所「ビットバンク」が運営する、ビットコイン(Bitcoin)、ブロックチェーン、暗号資産(仮想通貨)に関する知識、世界中の最新のトピックス、最先端の技術、プロジェクト、規制、相場など、暗号資産投資のヒントになるお役立ち情報を発信するメディアです。 金融庁のホームページに記載された暗号資産交換業者が取り扱う暗号資産(仮想通貨)は、当該暗号資産交換業者の説明に基づき、 資金決済法上の定義に該当することを確認したものにすぎません。 金融庁・財務局が、これらの暗号資産(仮想通貨)の価値を保証したり、推奨するものではありません。 暗号資産(仮想通貨)は、必ずしも裏付けとなる資産を持つものではありません。暗号資産(仮想通貨)の取引を行う際には、以下の注意点にご留意ください。 <暗号資産(仮想通貨)を利用する際の注意点>暗号資産(仮想通貨)は、日本円や
The Process Doppelgänging technique was first presented in December 2017 at the BlackHat conference. Since the presentation several threat actors have started using this sophisticated technique in an attempt to bypass modern security solutions. In April 2018, we spotted the first ransomware employing this bypass technique – SynAck ransomware. It should be noted that SynAck is not new – it has been
Petya/NotPetya (aka EternalPetya), made headlines in June, due to it’s massive attack on Ukraine. Today, we noted an outbreak of a similar-looking malware, called BadRabbit, probably prepared by the same authors. Just like the previous edition, BadRabbit has an infector allowing for lateral movements, using SMB to propagate laterally. Unlike NotPetya, it doesn’t use EternalBlue and is more widely
先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。 防衛装備に関連した調査報告を偽装したドキュメントは、図1のように、WORDやPDFを偽装した二重拡張子のファイルで、おそらくメールに添付されたかたちで標的企業に配送されたと見られます。 図1、WORDやPDFで防衛関連の調査報告書を偽装したEXEファイル SHA256 (PDF偽装ファイル) : dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643 SHA256 (DOC偽装ファイル) : 42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced [動作概要] ファイルを実行した場合、WORD
サイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動する攻撃者集団で、日本や香港での活動も確認されています。彼らが利用するコマンド&コントロール(C&C)サーバの Mutex やドメイン名から、BlackTech の目的は標的者が所有する技術の窃取にあると推測されています。 BlackTech が利用する手法などの変化を追跡したところ、別々のサイバー諜報活動だと思われていた、「PLEAD(プリード)」、「Shrouded Crossbow(シュラウディッド・クロスボウ)」、「Waterbear(ウォーターベア)」の間に、ある共通点が浮かび上がってきました。 本記事では、各攻撃キャンペーンの手口を比較し、利用されたツールを解析した結果判明した3つの攻撃キャンペーンが同一の攻撃集団によって実行されたことを示す共通点について解説します。 ■
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く