is702
ニュース

サイバー攻撃キャンペーン「ShadowGate」、仮想通貨発掘ツールを拡散する活動を開始

2019/07/12

トレンドマイクロは7月10日、公式ブログで「サイバー攻撃キャンペーン『ShadowGate』が活動を再開、新バージョンの『Greenflash Sundown EK』を利用」と題する記事を公開しました。

ここ2年間、限定的な活動が確認されていたサイバー攻撃キャンペーン「ShadowGate」(別名:WordsJS)が、今年6月に入ってから、仮想通貨発掘ツール(コインマイナー)を拡散する活動を開始したことが確認されました。このキャンペーンは、主にアジアで確認された後、世界のさまざまな地域に対象を拡大しています。

今回の活動では、新しいバージョンの脆弱性を悪用した攻撃ツール(エクスプロイトキット、EK)「Greenflash Sundown EK」が利用されていました。ShadowGateは、2018年4月にも、Greenflash Sundown EKを利用して仮想通貨発掘ツールを拡散していることが確認されましたが、東アジアの国々に限られており、関与するサーバはすぐに停止されました。しかしその後も、エクスプロイトキットの改良が続けられていた模様です。

この攻撃では、まず広告を配信している正規のサーバを攻撃し、不正広告を配信させます。それにより不正広告が埋め込まれてしまった正規のWebサイトを訪問したユーザは、不正な誘導先に自動転送され、脆弱性を悪用するGreenflash Sundown EKによって仮想通貨「Monero」を発掘するマルウェアに感染させられます。

Greenflash Sundown EKは、継続的に更新を行っており、今年6月に始まったShadowGateの攻撃の間も、トレンドマイクロは、2度の更新を経た別のバージョンのGreenflash Sundown EKを確認しています。最初の更新では、エクスプロイトキットの通信を暗号化する機能が組み込まれました。さらに、最新バージョンのGreenflash Sundown EKでは、遠隔からの命令を読み込ませる機能も更新されていました。

サイバー犯罪者は、検出を回避し攻撃対象を選別するために、ツールと手口を変化させ続けています。そのような脅威に対してユーザは、脆弱性を悪用されないためにもシステムおよびアプリケーションを常に最新のバージョンに保つ必要があります。さらに企業は、多層的な防御システムの採用も検討しましょう。


6月に入り「ShadowGate」に関連したトラフィックの検出数が増加(データはトレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」に基づく)

6月に入り「ShadowGate」に関連したトラフィックの検出数が増加(データはトレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」に基づく)


  • あんしんプラスシリーズ
  • 標的型メール訓練サービス メル訓クラウド
  • IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud
あんしんプラスシリーズ
標的型メール訓練サービス メル訓クラウド
IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud