フェイスブックがマルウェアが仕込まれた偽「PC版Clubhouse」アプリの広告を掲載

TechCrunchが入手した情報によると、サイバー犯罪者らは、PCユーザー向けのClubhouseアプリを装ったFacebookの広告多数掲載し、無防備な被害者を狙ってマルウェアを仕込んでいるという。

TechCrunchが米国時間4月7日に得た警告によると、いくつかのFacebookページに結びついている複数の広告がClubhouseになりすましているという。ClubhouseはiPhoneでしか利用できないオーディオチャットアプリだ。広告をクリックすると偽Clubhouseのウェブサイトが開き、そこには存在しないPCアプリがどのように表示されるかという偽のスクリーンショットと、悪意あるアプリのダウンロードリンクが表示される。

悪意のあるアプリを開くと、コマンド&コントロールサーバーと通信して、次に何をすべきかの指示を得ようとする。このマルウェアをサンドボックス解析したところ、隔離されたマシンにランサムウェアに感染させようとしていたことがわかった。

しかしひと晩経つと、ロシアでホストされていたClubhouseの偽サイトはオフラインになっており、それにともないマルウェアも動作を停止していた。4月8日にサンドボックスでこのマルウェアをテストしたGuardicoreのAmit Serper(アミット・サーパー)氏によると、このマルウェアはサーバーからエラーを受け取り、それ以上は何もしなかったという。

偽ウェブサイトはClubhouseの本物のウェブサイトのように見せるよう設定されていたが、悪意あるPCアプリを搭載していた(画像クレジット:TechCrunch)

サイバー犯罪者たちが人気の高いアプリの成功に便乗して、自分たちのマルウェアで犯行を行うことは珍しくない。Clubhouseは招待制であるも関わらず、世界で800万回以上ダウンロードされたと報じられている。その需要の高まりを受けて、アプリをリバースエンジニアリングして海賊版を開発し、Clubhouseのゲートウォールだけでなく、アプリがブロックされている政府の検閲も逃れようとする動きが活発になっている。

関連記事
ソーシャルオーディオアプリClubhouseが800万ダウンロード超え、2021年2月前半に急増
Clubhouseのリバースエンジニアリング競争で高まるセキュリティ上の懸念

Clubhouseを装ったFacebookの各ページは、わずかに「いいね!」されているだけだが、本稿執筆時にはまだアクティブだった。Facebookは、Clubhouseの偽ウェブサイトを示す広告をクリックしたアカウント数は発表していない。

米国時間4月6日から6日にかけて、少なくも9つの広告が設置された。一部の広告は「これからはClubhouseをPCで使えます」と述べている。また、共同創業者のPaul Davidson(ポール・デヴィッドソン)氏とRohan Seth(ローハン・セス)氏の写真を載せているページもある。Clubhouseは、コメントの求めに応じなかった。

広告はFacebook’s Ad Libraryから削除されたが、コピーがこれだ。そもそも広告がFacebookのプロセスをどのように通過したのかも不明だ。

関連記事
Facebookは広告ツールの誤動作でまたしても評判に傷がつく
「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

カテゴリー:セキュリティ
タグ:FacebookClubhouseマルウェアランサムウェア広告Facebook広告

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

セキュリティ研究者らによると、重要なシステムアップデートを装った新しい強力なAndroidのマルウェアは、被害者のデバイスを完全に制御し、データを盗むことができるという。

このマルウェアは、AndroidデバイスのアプリストアであるGoogle Play以外の場所からインストールされた「System Update(システムアップデート)」という名のアプリにバンドルされていることが判明した。ユーザーがインストールするとこのアプリはその姿を隠し、被害者の端末から攻撃者のサーバーにデータを密かに流出させる。

悪意のあるアプリを発見したモバイルセキュリティ企業Zimperiumの研究者によると、被害者がこのアプリをインストールすると、マルウェアは端末を遠隔操作するために使用されている攻撃者のFirebaseサーバーと通信する仕組みになっているとのこと。

このスパイウェアはメッセージ、連絡先、デバイスの詳細情報、ブラウザのブックマークや検索履歴を盗み出し、マイクから通話や周囲の音を録音し、携帯電話のカメラを使って写真を撮影することができる。また、被害者の位置情報を追跡したり、文書ファイルを検索したり、デバイスのクリップボードからコピーされたデータを取得したりもするという。

このマルウェアは被害者から姿を隠し、画像全体ではなくサムネイルを攻撃者のサーバーにアップロードすることでネットワークデータの消費量を減らし、捕捉を逃れようとする。また、位置情報や写真などの最新のデータをキャプチャする。

ZimperiumのCEOであるShridhar Mittal(シュリダー・ミッタル)氏は、今回のマルウェアは標的型攻撃の一環である可能性が高いと述べている。

ミッタル氏は「これまで見た中で最も巧妙なマルウェアです」と語った。「このアプリの開発には多くの時間と労力が費やされていると思います。このようなアプリは他にもあると思われますが、できるだけ早く見つけられるように最善を尽くしています」とも。

Android端末で動作するシステムアップデートを装ったマルウェアのスクリーンショット。このマルウェアは、感染したデバイスを完全に制御できる(画像クレジット:Zimperium)

ユーザーを騙して悪意のあるアプリをインストールさせることは、被害者の端末を危険にさらすシンプルかつ効果的な方法だ。Android端末では、アプリストア以外からアプリをインストールしないよう警告されるのもそのためだ。しかし、古いデバイスの多くは最新のアプリが動作しないため、ユーザーは海賊版アプリストアの古いバージョンのアプリに頼らざるを得ない。

ミッタル氏は、Google Playからこの悪質アプリがインストールされることはなかったと確認している。Google(グーグル)の広報担当者は、同マルウェアがAndroidアプリストアに侵入するのを防ぐために同社がどのような措置を講じているかについてはコメントを控えた。Googleはこれまでにも、悪質なアプリフィルターをすり抜けてしまうことがあった。

関連記事
個人の位置情報をブローカーに売っていたX-Modeはアプリがストアから排除されてもユーザーの追跡を継続
Googleが2000万回ダウンロードされた子供向けAndroidアプリ3つを保護違反で削除

被害者のデバイスに広範囲に渡ってアクセスすることができるこの種のマルウェアは、さまざまな形態や名前があるが、主にすることは同じだ。インターネットの黎明期には、ウェブカムを使って被害者を盗撮するリモートアクセス型トロイの木馬(Remote Access Trojans、RAT)が存在した。現在では、子供用の監視アプリが、ユーザーの配偶者を監視するために転用されることが多く、ストーカーウェアや配偶者ウェアとして知られている。

2020年にTechCrunchは、表向きは子ども用の監視アプリであるKidsGuardストーカーウェアが、同様の「システムアップデート」を利用して被害者の端末を感染させたことを報じた。

関連記事:すべてを監視するストーカーウェア「KidsGuard」から個人データが大量に漏洩

研究者たちは、今回のマルウェアを作ったのが誰なのか、誰をターゲットにしているのかはわからないという。

「このところ、モバイル端末を狙ったRATが増えてきています。攻撃者たちは、モバイル機器にも同様に多くの情報があり、従来のエンドポイントよりもはるかに保護されていないことに気づいているのでしょう」とミッタル氏は述べている。

カテゴリー:セキュリティ
タグ:Androidマルウェア

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

Windows PCを標的とするワーム侵入する新たな「ボットネット」が急速に拡大中

研究者によると、Windowsパソコンを標的にしたボットネット(botnet)が急速に拡大している。マルウェアがコンピューターからコンピューターへと拡散することを可能にする新たな感染テクニックのためだ。

Purle Fox(パープル・フォックス)というマルウェアが最初に発見されたのは2018年で、フィッシングメールやエクスプロイトキットを通じて拡散した。犯行グループが既存のセキュリティ欠陥を利用して機器を感染させる手段だ。

セキュリティ企業Guardicoreの研究者であるAmit Serper(アミット・サーパー)氏とOphir Harpaz(オフィール・ハーパズ)氏は、この新しい感染方法を発見してブログで公表し、このマルウェアがインターネット接続された弱いパスワードのWindowsパソコンを標的にして、拡散を加速するための足場に使っていることを伝えた。

関連記事:カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

マルウェアはWindowsユーザーアカウントの弱いパスワードを、サーバー・メッセージ・ブロック(SMB)を標的にして推測する。SMBはWindowsがプリンターやファイルサーバーなどの外部デバイスと会話するのに使う機能だ。一度脆弱なコンピューターへのアクセスを獲得すると、マルウェアは2000近くのすでに侵入されているWindowsウェブサーバーのネットワークの中から悪意のあるペイロード(malicious payload)の引き金を引き、ルートキットをこっそりとインストールして、そのマルウェアをコンピューターに永住させ、検出や除去をいっそう困難にする。

一度感染すると、マルウェアは自分が感染に利用したファイアウォールのポートを閉じることで、再度の感染やすでにハッキングされたパソコンを他の犯行グループがハイジャックするのを防ごうとする、と研究者らはいう。

次にマルウェアはインターネットアドレスのリストを生成し、パスワードの弱い脆弱なパソコンをインターネットで探し、さらに感染を広げて侵入されたコンピューターのネットワークを拡大していく。

ボットネットは、犯行グループが制御しているネットワークに何十万台のハックされたデバイスが登録されて作られる。これを使ってDoS攻撃を仕かけ、無駄なトラフィックで標的となった組織のネットワークを停止に追い込む。しかし、これらのデバイスを制御することで、犯行グループはボットネットを使ってマルウェアやスパムを拡散したり、感染したコンピューターにファイル暗号化ランサムウェアを送り込むこともできる。

しかしこの種のワーム侵入型ボットネットは、自分自身で拡散するためリスクはさらに大きい。

Guardicoreのセキュリティ研究副社長であるサーパー氏は、ワーム侵入型感染技法は従来のフィッシングやエクスプロイトキットよりも「安上がり」に実行できると語った。

「インターネットを常時監視して脆弱なマシンを探す日和見的攻撃であるということは、犯罪者はある意味で『セットしたら忘れる』ことができることを意味しています」と彼は述べた。

企みは成功しているようだ。Purple Fox感染は2020年5月以降600%急増していることをGuardicore独自のインターネットセンサーネットワークのデータが示している。実際の感染数はずっと多いに違いなく、2020年だけで9万例を越えるだろう。

Guardicoreは、自身が感染しているかどうかをネットワークが調べるための侵略指標を公開した。これらのボットネットが何に使われるのかは研究者にもわかっていないが、サイズの大きさが組織にとってリスクになることを警告している。

「これは将来何かをするための基盤を作っているのだろうと私たちは考えています」とサーパー氏は語った。

カテゴリー:セキュリティ
タグ:マルウェアWindows

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

Microsoft(マイクロソフト)は顧客に対し、中国政府の支援を受ける新たなハッカーが、同社の企業向け電子メール製品であるExchange Serverの、これまでに発見されていなかった4つのセキュリティ上の欠陥を悪用し攻撃していると警告した。

Microsoftは米国3月2日「Hafnium(ハフニウム)」と呼ばれるハッカーグループが、法律事務所や防衛請負業者だけでなく、感染症研究者や政策シンクタンクなど、米国を拠点とする幅広い組織を攻撃対象にして情報を盗み出そうとしているようだと述べた。

同社によると、Hafniumは、新たに発見された4つのセキュリティ脆弱性を利用して、企業ネットワーク上で稼働しているExchangeの電子メールサーバに侵入し、被害者組織から電子メールアカウントやアドレス帳などのデータを盗み出し、さらにマルウェアをインストールしていたとのこと。4つの脆弱性を併用することで、Exchange 2013以降を使用するオンプレミスの脆弱なサーバーを侵害できる攻撃の連鎖が作られるという。

Hafniumは中国を拠点に活動しているが、攻撃を仕かけるために米国内のサーバーを利用していると同社は述べている。Microsoftは、Hafniumがこれら4つの新しい脆弱性を最初に発見したハッカーグループであるとも述べた(同社のブログ記事の以前のバージョンでは、Hafniumがこの脆弱性を悪用する「唯一の」グループであると誤って記述されていた)。

Microsoftは攻撃が成功した数については明言を避けたが、その件数は「限られたもの」と説明した。

該当する4つのセキュリティ脆弱性を修正するためのパッチは現在すでに公開されており、通常は毎月第2火曜日に予定されている同社の典型的なパッチ適用スケジュールよりも1週間早い公表となった。

「Microsoftの顧客セキュリティ担当副社長であるTom Burt(トム・バート)氏は次のように述べた。「Hafniumの攻撃に対するアップデートを迅速に配備するよう尽力しましたが、多くの国家活動家や犯罪グループが、パッチが適用されていないシステムを利用しようと迅速に動くことが予想されます」。

同社は米政府機関にも調査結果をブリーフィングしたとしているが、今回のHafniumによる攻撃は、米連邦政府機関に対するSolarWinds関連のスパイ活動とは関係ないとしている。トランプ政権末期にNSA(米国家安全保障局)とFBIは、SolarWindsの件は「ロシア起源の可能性が高い」と述べていた。

関連記事
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道

カテゴリー:セキュリティ
タグ:Microsoft中国ハッキングマルウェアゼロデイ攻撃

画像クレジット:Drew Angerer / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

元NSAのセキュリティ研究者がAppleシリコン「M1」Mac搭載でネイティブ動作する初のマルウェア発見

元NSAのセキュリティ研究者がAppleシリコン「M1」Mac搭載でネイティブ動作する初のマルウェア発見

アップル独自開発のAppleシリコンことM1チップ搭載Macが発売されてからわずか数か月ですが、早くもネイティブ動作するマルウェアが発見されました。

この発見は、元NSA(米国家安全保障局)所属のセキュリティ研究者であるパトリック・ウォードル氏が、自らのブログObjective-Seeにて報告しているもの。M1 Macではインテル製チップ向けバイナリをRosetta 2で翻訳して動かすこともできますが、ウォードル氏が見つけたのはM1向けに再コンパイルされたArm64コードが含まれるものです。

具体的には以前からインテルMacを標的としているアドウェア「Pirit」をM1ネイティブ対応にした「GoSearch22.app」だったとのこと。このバージョンは大量の広告を表示し、ユーザーのブラウザからデータを収集することを目的としていると推測されています。

ワードル氏がこのマルウェアを発見したのは、Alphabetが所有するウィルス対策サイト(ファイルやWebサイトのマルウェア検査を行う)VirusTotalでした。さらにワードル氏は、GoSearch22は2020年11月23日にアップル開発者IDで実際に署名されていることも指摘。アップルはその時点で証明書を失効させていますが、野良で見つかったことからmacOSユーザーが感染した可能性があると述べられています。

それに加えてワードル氏は、VirusTotal上でx86(インテル製チップを標的としたもの)版を検出できたウィルス対策ソフトのうち、15%しかM1版のGoSearch22をマルウェアだと判定できなかったと報告しています。すなわち、ほとんどのアンチウイルスソフトはM1向けに設計されたマルウェアに対応する準備が整っていない、ということ。

この報告につき、別のセキュリティ研究者トーマス・リード氏はWiredに(既存のマルウェアを)M1向けにコンパイルすることは「プロジェクトの設定でスイッチを入れるのと同じぐらい簡単にできます」とコメントしています。

かつて「MacはWindowsよりもマルウェアの危険性が低い」との通説がありましたが、2019年にはMacがWindowsを上回ったとの調査結果もありました。一般にプラットフォームの普及が進むほど攻撃の対象となりやすくなり、かつM1 Macは順調な売れ行きを示していることもあり、今後はアップルもセキュリティ対策に頭を痛めるのかもしれません。

(Source:mObjective-See、via:9to5MacEngadget日本版より転載)

関連記事
M1搭載Mac miniレビュー、高性能で低価格なデスクトップMacの復活
M1搭載MacBook Airレビュー、新しい扉を開けたAirは多くの人におすすめできるAppleシリコンMac
アップルがARMベースの独自SoC「Apple M1」を発表
新型MacBook AirはApple M1を搭載しバッテリー効率向上、10万4800円から
​新型13インチMacBook Proは新M1チップ搭載し、13万4800円から
Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ
VirusTotalは、アンチウイルスの「誤判定」からデベロッパーを守る

カテゴリー:セキュリティ
タグ:Apple / アップル(企業)Apple M1(製品・サービス)Appleシリコン / Apple Silicon(製品・サービス)VirusTotal(製品・サービス)マルウェア(用語)

米司法省がロシア人ハッカーグループを起訴、ウクライナ停電事件とランサムウェアNotPetya関与の疑い

「世界一破壊的なマルウェア」(2015年12月のウクライナ電力網停止および2017年のNotPetyaによる世界的ランサムウェア攻撃を含む)を流布させた罪に問われているロシア諜報員6名が、米国司法省に起訴された。

検察は、ロシア GRU(参謀本部情報総局)で働くそのハッカーグループは「単一グループによる史上最悪の破壊的破滅的コンピューター攻撃」の首謀者であるという。

「わずかな戦術的優位性と悪意の感情を満足させるために、ロシアほど自国のサイバー能力を悪意をもって無責任に兵器化し、前例のない被害を理不尽に与えてきた国は他にない。本日10月19日、司法省はロシア諜報員らを、NotPetyaマルウェアの流布を含め、単一グループによる史上最悪の破壊的かつ破滅的コンピュータ攻撃を犯した罪で起訴した。このような振る舞いをした国が、今後偉大さを取り戻すことはないだろう」とJonh Demers(ジョン・デマーズ)司法次官補(米国国家安全保障担当)は語っている。

告発されたロシア諜報員6名(画像クレジット:FBI提供)

米国時間10月19日に発表された罪状によると、ハッカーグループはKillDiskおよびIndustroyer(別名Crash Override)を使って攻撃を仕かけ、ウクライナの電力供給源を標的にして破壊した結果、数十万の人々がクリスマスの2日前に電気のない生活を強いられた(ZDNet記事)。

検察はさらに、ハッカーグループは2017年に世界中に蔓延し、数十億ドル(数千億円)の被害を与えたランサムウェア攻撃、NotPetyaの首謀者であることも付け加えた(WIRED記事)。

またハッカーらは、2018年に韓国で開催された平昌冬季オリンピックの開会式中にインターネット接続を遮断する目的で作られたOlympic Destroyerを使ったとも言われている(NJCCICリリース)。

検察当局は6人のハッカーに対して、2017年のフランス選挙で「hack and leak」作戦を実行し(未訳記事)、当時大統領有力候補だったEmmanuel Macron(エマニュエル・マクロン)氏の信頼を傷つけようとしたことや、2018年の英国ソールズベリーにおけるロシア製神経剤ノビチョクの使用(未訳記事)および元ソビエトのジョージアを標的とした攻撃の調査を担当していた化学兵器禁止機関および英国の国防科学技術研究所に対する標的型スピアフィッシング攻撃の実行についても責任を追及している。

FireEye Mandiantの情報分析ディレクターであるJohn Hultquist(ジョン・ハルトキスト)氏は一連の罪状について、「これまで私たちが目撃した最重要なサイバー攻撃事象の多くが掲載されたリストのようだ」と語った。

容疑者のハッカーは、Yuriy Sergeyevich Andrienko(ユーリー・セルゲイビッチ・アンドリエンコ、32歳)、Sergey Vladimirovich Detistov(セルゲイ・ウラジミロビッチ・デティストフ、35歳)、Pavel Valeryevich Frolov(パベル・ヴァレリーヴィチ・フロロフ、28歳)、Anatoliy Sergeyevich Kovalev(アナトリア・セルゲイ・コバレフ、29歳)、Artem Valeryevich Ochichenko(アルテム・ヴァレリエヴィッチ・オチチェンコ、27歳)およびPetr Nikolayevich Pliskin(ペトル・ニコライエヴィチ・プリスキン、32歳)の6人で、いずれもハッキングの共謀、有線通信不正行為の実行、およびコンピュータ破壊など7件の訴因で告発されている。

容疑者らはロシアにいると見られている。しかしこの告訴は「ネーム・アンド・シェイム(氏名公表)」を目的とするもので、ここ数年、逮捕や身柄引き渡しが困難あるいは不可能である場合に司法省検察当局がよく用いている方法だ。

カテゴリー:セキュリティ
タグ:米司法省ロシアマルウェアハッカー

画像クレジット:AFP / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook