偵察マルウェア「Laziok」による攻撃、エネルギー関連企業を狙う

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2015-04-03 11:03

 企業にスパイ行為を行って機密情報を盗み出すことを目的とする、多段階的な標的型攻撃の活動が世界のエネルギー業界を襲っている。

 2015年の1月~2月にかけて、Symantecのセキュリティ研究者チームは「世界中、特に中東のエネルギー企業」を狙った標的型攻撃の活動を確認した。同チームによると、この新たな攻撃活動では、情報を盗み出すために「Trojan.Laziok」と呼ばれるトロイの木馬が使われているという。

 Laziokは偵察ツールとしての役割を果たす。同ツールを利用することで、サイバー攻撃者はコンピュータシステムに侵入し、(ハッカーが攻撃を続けるべきかどうかを判断できるように)コンピュータシステム自体に関するデータを盗み出すことができる。全体としての目的は、企業秘密を見つけて盗み出すことだ。

 Symantecは、標的にされた企業の大半が石油やガス、ヘリウムの業界と関連があることを発見した。標的にされることが最も多かったのはアラブ首長国連邦とパキスタン、サウジアラビア、クウェートだが、米国と英国の企業も攻撃を受けている。

figure_2

 Symantecによると、最初の攻撃ベクタの起点は「moneytrans[.]eu」ドメインで、このドメインはSMTPサーバとして機能するという。このドメインから送信される電子メールには、「Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability」(CVE-2012-0158)を突くエクスプロイトを含む悪質なファイルが添付されている。被害者がその電子メールをクリックして添付ファイル(通常は「Excel」ファイルに偽装されている)を開くと、Laziokが投下される。

 Laziokはコンピュータシステムに侵入すると、「%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle」ディレクトリに身を隠した後、ファイル自体の名前を「search.exe」や「chrome.exe」など、よく知られており、まっとうに見えるものに変更する。その後、コンピュータ名やインストールされたソフトウェア、RAM容量、CPUの詳細情報、アンチウイルスソフトウェアのインストール状況といったシステムデータの収集を開始する。

 それから、この情報はサイバー攻撃者に送信されて処理される。その後、感染したシステムに追加のマルウェアのペイロードが再送信され、ネットワークに損害を与えるか、データ窃盗に集中する可能性がある。

figure_1
提供:Symantec

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]