The page may not load correctly.
2017年8月31日
株式会社Doctor Web Pacific
8月初旬、インターネットリソースの管理者を標的とした大量メール配信がDoctor Webによって検出されました。中でも特に、スキャマーはロシアのドメイン名レジストリである Regional Network Information Center (RU-CENTER) を装ってメールを配信し、その際にドメイン管理者の連絡先データベースを使用していました。これらのメールの内容は受信者に特殊なPHPファイルをサーバー上に置くよう指示するもので、この要求を実行することでインターネットリソースを感染させてしまうことになります。また、8月にはマイニングトロイの木馬も発見されています。そのローダーには、著名なサイバーセキュリティエキスパートであるブライアン・クレブス (Bryan Krebs) 氏のWebサイトのアドレスが含まれていました。そのほか、 MIPS/MIPSEL アーキテクチャのデバイスを感染させるバージョンの Linux.Hajime トロイの木馬のローダーがDr.Webウイルスデータベースに追加されました。
ネットワークワームである Linux.Hajime ファミリーは2016年に登場しました。これらワームの拡散にはTelnetプロトコルが使用されています。 Linux.Hajime はログインとパスワードを割り出してデバイスにログインした後、プラグインに含まれている、アセンブラ言語で書かれたローダーをデバイス上に保存します。ローダーは攻撃を行っているコンピューターからトロイの木馬のメインモジュールをダウンロードし、このモジュールが感染したデバイスを分散型P2Pボットネットに接続させます。最近まで、アンチウイルスが検出するのはARMアーキテクチャ向けの Linux.Hajime ローダーのみでしたが、Doctor Webのウイルスアナリストによって、MIPS/MIPSELアーキテクチャのデバイスを対象とした悪意のある同様のモジュール (Linux.DownLoader.506 および Linux.DownLoader.356) がウイルスデータベースに追加されました。
Doctor Webのスペシャリストによって収集された統計から、 Linux.Hajime に感染したデバイスのIPアドレスが最も多かった国はメキシコであることが明らかになっています。トルコとブラジルがその後に続き、上位3カ国となっています。 Linux.DownLoader.506 および Linux.DownLoader.356 に関する詳細についてはこちらの記事をご覧ください。
2017年8月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
2017年8月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は275,399件となっています。
2017年7月 | 2017年8月 | 推移 |
---|---|---|
+ 327,295 | + 275,399 | -15.8% |
非推奨サイトのリストには、サイバー犯罪者による攻撃を受けたサイトが含まれていることが多くあります。犯罪者はアクセス数を増やすために、ユーザーを第三者サイトへリダイレクトさせるスクリプトを感染させたインターネットリソース上に置き、また、時にはこの方法で悪意のあるソフトウェアを拡散させることもあります。感染させる目的でWebサイトを攻撃するサイバー犯罪者は、まず初めに対象となるインターネットリソースに関する情報を収集しますが、とりわけ、サイトを管理するWebサーバーの種類とバージョン、コンテンツ管理システムのバージョン、エンジンプログラミング言語、そしてサイトのメインドメインのサブドメイン一覧を含むその他の技術的な情報を特定しようと試みます。Webサイトを管理するDNSサーバーが正しく設定されていれば、サイバー犯罪者はリクエストしたドメインゾーン情報を取得することはできません。一方、DNSサーバーの設定が誤っていた場合は、特殊なAXFRリクエストによって、ドメインゾーン内に登録されたサブドメインに関する完全なデータを取得することが可能になります。DNSサーバーの誤った設定それ自体は脆弱性ではありませんが、インターネットリソースを感染させてしまう間接的な原因となり得ます。詳細についてはこちらの記事をご覧ください。
8月、Linux OSを標的とする新たなマイニングトロイの木馬である Linux.BtcMine.26 が、Doctor Webウイルスアナリストによってウイルスデータベースに追加されました。この悪意のあるプログラムは Monero (XMR) をマイニングするよう設計され、 Linux.Mirai と同様の手法で拡散されています。サイバー犯罪者はTelnetプロトコルを使用してデバイスに接続し、ログインとパスワードを割り出した後、デバイス上にローダープログラムを保存します。続けて、コンソールコマンドを使用してターミナルからローダーを起動させ、デバイス上に Linux.BtcMine.26 をダウンロードします。
Linux.BtcMine.26 のローダーは一風変わった特徴を持っています。そのソースコード内に krebsonsecurity.com が何度も出現しているのです。このWebサイトは著名なサイバーセキュリティエキスパートであるブライアン・クレブス氏のものです。この脅威に関する詳細についてはこちらの記事をご覧ください。
夏最後の月にはGoogle Play上で悪意のあるアプリケーションが複数発見されています。 Android.Click.268 および Android.Click.274 としてDr.Webウイルスデータベースに追加されたトロイの木馬はネットワークリソース上でDDoS攻撃を実行し、また別のトロイの木馬 Android.Click.269 は犯罪者によって指定されたWebサイトを密かに読み込み、それらサイト上のバナーをクリックすることでサイバー犯罪者に収益をもたらします。同じくGoogle Playから拡散され、 Android.BankBot.225.originとしてウイルスデータベースに追加されたトロイの木馬は、バンキングソフトウェアやその他のソフトウェアの前面に偽の入力フォームを表示させ、そこに入力された情報をすべて盗むというものでした。また、8月には他のトロイの木馬をインストールするよう設計された Android.MulDrop.1067 ドロッパーもGoogle Play上で発見されています。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。