「Googleドライブ」経由でトロイの木馬を拡散、ハッカー集団が展開中

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2019-01-22 10:33

 APT(Advanced Persistent Threat)攻撃を実行するDarkHydrusグループが戻ってきた。今回は、「Windows」の脆弱性を利用して被害者を感染させるだけでなく、代替的な通信経路として「Googleドライブ」も悪用している。

 先週、360 Threat Intelligence Center(360TIC)の研究者らが述べたところによると、DarkHydrusは政治的価値のある中東の標的に焦点を絞った新しいキャンペーンを進めているという。

 DarkHydrusによるこの最新のスキームは、360TICが不正な「Microsoft Excel」文書のサンプルを米国時間1月9日に入手した後に、最初に発見された

 アラビア語で書かれたこの文書には、ファイルが開かれた場合に起動する埋め込みVBAマクロが含まれる。このマクロは、テキストファイルを一時ディレクトリにドロップした後、正規の「egsvr32.exe」を使用して、そのテキストファイルを実行する。その後、「Base64」コンテンツを解凍して「OfficeUpdateService.exe」(「C#」で記述されたバックドア)を実行する「PowerShell」スクリプトがドロップされる。

 このバックドアは興味深い経路を使用する。PDBのパスには、「DNSProject」というプロジェクト名が含まれる。研究者らによると、これは、「このマルウェアが目的を達成するために、何らかのDNS手法を利用する可能性があることを示している」という。

 このバックドア(トロイの木馬「RogueRobin」の亜種)は新しいレジストリファイルを作成できるだけでなく、仮想マシン検出やサンドボックス検出、アンチデバッグのためのコードも含んでいる。

 Palo Altoの研究者らの情報も合わせると、これらの攻撃で展開されるトロイの木馬は、盗まれたシステム情報(ホスト名を含む)を収集し、DNSトンネル経由でコマンド&コントロール(C2)サーバに送信するコンパイル済み亜種のようだ。

 しかし、このトンネルが利用できない場合に備えて、このトロイの木馬は、メインのC2通信経路に障害が発生した場合に代替ファイルサーバとしてGoogleドライブを使用するよう命令する「x_mode」コマンドを用意している。

 「このx_modeコマンドはデフォルトで無効になっているが、DNSトンネリング経路から受信したコマンドによって有効化されると、RogueRobinが一意の識別子を受け取り、『Google Drive API』要求を使用してジョブを取得することが可能になる」(Palo Alto)

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 経営

    風向きが変わった「Microsoft 365」のデータ保護戦略、最適なバックアップ対策の進め方

  2. セキュリティ

    2023年のサイバー脅威予測!注目すべき新たな攻撃トレンド「CaaS」という恐るべきビジネスモデル

  3. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  4. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  5. 経営

    「脱PPAP」で三井ホームが導入、先進機能が統合されたメールセキュリティ対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]