編集部からのお知らせ
オススメ記事選集PDF:「ジョブ型」へのシフト
「ニューノーマル」に関する新着記事一覧

偵察マルウェア「Laziok」による攻撃、エネルギー関連企業を狙う

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 川村インターナショナル

2015-04-03 11:03

 企業にスパイ行為を行って機密情報を盗み出すことを目的とする、多段階的な標的型攻撃の活動が世界のエネルギー業界を襲っている。

 2015年の1月~2月にかけて、Symantecのセキュリティ研究者チームは「世界中、特に中東のエネルギー企業」を狙った標的型攻撃の活動を確認した。同チームによると、この新たな攻撃活動では、情報を盗み出すために「Trojan.Laziok」と呼ばれるトロイの木馬が使われているという。

 Laziokは偵察ツールとしての役割を果たす。同ツールを利用することで、サイバー攻撃者はコンピュータシステムに侵入し、(ハッカーが攻撃を続けるべきかどうかを判断できるように)コンピュータシステム自体に関するデータを盗み出すことができる。全体としての目的は、企業秘密を見つけて盗み出すことだ。

 Symantecは、標的にされた企業の大半が石油やガス、ヘリウムの業界と関連があることを発見した。標的にされることが最も多かったのはアラブ首長国連邦とパキスタン、サウジアラビア、クウェートだが、米国と英国の企業も攻撃を受けている。

figure_2

 Symantecによると、最初の攻撃ベクタの起点は「moneytrans[.]eu」ドメインで、このドメインはSMTPサーバとして機能するという。このドメインから送信される電子メールには、「Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability」(CVE-2012-0158)を突くエクスプロイトを含む悪質なファイルが添付されている。被害者がその電子メールをクリックして添付ファイル(通常は「Excel」ファイルに偽装されている)を開くと、Laziokが投下される。

 Laziokはコンピュータシステムに侵入すると、「%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle」ディレクトリに身を隠した後、ファイル自体の名前を「search.exe」や「chrome.exe」など、よく知られており、まっとうに見えるものに変更する。その後、コンピュータ名やインストールされたソフトウェア、RAM容量、CPUの詳細情報、アンチウイルスソフトウェアのインストール状況といったシステムデータの収集を開始する。

 それから、この情報はサイバー攻撃者に送信されて処理される。その後、感染したシステムに追加のマルウェアのペイロードが再送信され、ネットワークに損害を与えるか、データ窃盗に集中する可能性がある。

figure_1
提供:Symantec

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]