あるサイバー犯罪組織がGoogleのサービス群を使ってコマンド&コントロール(C&C)通信を行い、不用心なマルウェア被害者のマシンの監視などに利用しているという。
Carbanak(Anunakとしても知られる)は高度に組織化されたハッカー集団で、潜在的な標的や当局による検知を避けつつサイバー犯罪を実行し続けるために、絶えず戦術を進化させている。最近の攻撃活動(「Digital Plagiarist」と呼ばれる)では、ミラードメインにホストされたオフィス文書を利用して、マルウェアを拡散させていた。
Forcepointが最近、Carbanakが関係するとみられる悪質なRTFドキュメントを調査したとして、その結果を報告した。このドキュメントには、これまでのCarbanakのマルウェアに見られるようなVBScriptが含まれているという。
Forcepointのサイバーセキュリティ研究者らの指摘によると、CarbanakのVBScriptのマルウェアには追加のスクリプト(「ggldr」)が含まれており、ggldrはGoogleのサービス群をC&Cチャネルとして利用することが可能だという。これにより、ハッカーたちは「Google Apps Script」「Google Sheets」「Google Forms」サービスとの間でコマンドの送受信を行うことができる。ユニークなGoogle Sheetsスプレッドシートが動的に作成され、システムがそれぞれの感染した被害者を簡単に管理できるようになる。
提供:Forcepoint Security Labs
Googleを独立したC&Cチャネルとして利用する方が、新たに作成されたドメインや全く知られていないドメインを利用するより成功の確率が高いとForcepointの研究者たちは警告する。
Forcepointのサイバーセキュリティ研究者たちはこの問題について、既にGoogleに通知済みだという。米ZDNetはGoogleにコメントを求めたが、本稿掲載時点で回答はない。
提供:Getty Images/iStockphoto
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
