新たなマルウェア攻撃が、システムをボットネットに組み込み、攻撃者が感染したマシンを完全に制御できるようにするだけでなく、さらなるペイロードを送り込めるようにして、デバイスを「トロイの木馬」やキーロガー、DDoS攻撃などの悪意ある企みの危険にさらしている。
このマルウェアは3段階からなる回避機能を備えているが、発見したDeep Instinctの研究者らはこの回避機能について、高度に複雑で珍しく「これまで出回ったことがない」ものだとしている。
このマルウェアを拡散するボットネットは「Mylobot」と呼ばれており、出所や配布方法は今のところ不明だが、2017年にも猛威を振るったランサムウェア「Locky」と関連があるようだ。
Mylobotには、サンドボックスやデバッグを回避する暗号化されたファイルと、.exeファイルをディスクに保存することなくメモリから直接実行できる反射型の.exeファイルが含まれている。このテクニックはあまり一般的でなく、2016年に報告されている。マルウェアの検知や追跡をいっそう難しくしているという。
さらにMylobotには、2週間待ってから攻撃者のコマンド&コントロール(C&C)サーバに接続する遅延メカニズムが組み込まれている。これもまた、検知を回避する手段だ。
システムにインストールされると、Mylobotは「Windows Defender」と「Windows Update」をシャットダウンするという。
それに加えて、以前にマシンにインストールされた他のマルウェアのインスタンスを削除する。「DorkBot」などの他のボットネットの特定のフォルダも狙われるという。
どういう考えに基づいてこのような動きをするのかは簡単だ。被害を受けたマシンからできるだけ多くの利益を得るため、攻撃者の制御する感染マシンのネットワークが最大となるよう、ライバルを削除しているのだ。
コンピュータがボットネットに組み込まれたら、攻撃者はシステムを完全に制御し、さらなるペイロードや指示をC&Cサーバから送り込める。
Deep Instinctのセキュリティ研究者であるTom Nipravsky氏は、「予想される被害は、攻撃者が送り込もうとするペイロードによる。ランサムウェアやバンキング型トロイの木馬のダウンロードや実行などが考えられる」と述べている。
研究者らは、どういったペイロードがさらにダウンロードされるのか詳しく述べていないが、Mylobotに関連するC&Cサーバのドメインの分析から、Lockyランサムウェアや他のマルウェアとのつながりが明らかになった。
Nipravsky氏は、「われわれの調査によると、C&CサーバのIPは、2015年11月に初めて確認されており、DorkBotやLocky、Ramdoとつながりがある」と述べた。
このC&Cサーバは2年半にわたってアクティブで、Mylobotの背後にいる者たちが以前から活動し、十分なリソースがある活動を示唆する戦略を用いていることを示している。
「ボットネットは1404種類のドメインに接続しようとしている。この調査について執筆している時点で、有効なのは1つだけだった。それらのドメインすべてを登録するために必要な豊かなリソースを示唆している」とNipravsky氏は述べた。
Nipravsky氏によると、このマルウェアは広範に拡散していないようだ。また、Mylobotの背後にいる攻撃者の正体や拡散手段、最終的な目的は不明のままだ。しかし研究者らは、この仕組みの複雑さから、素人によるものではないと結論づけている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
