編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

マイクロソフト、「Astaroth」マルウェアキャンペーンに警鐘

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-07-09 10:21

 Microsoftのセキュリティチームは米国時間7月8日、「Astaroth」マルウェアを拡散させる目的でのキャンペーンが発生していると警鐘を鳴らした。このキャンペーンは、ファイルレスと「living off the land」(環境寄生型)の手法を組み合わせているため、進行中の攻撃を検知するのが従来型のウイルス対策ソリューションでは困難である。

 この攻撃は、Microsoftが無償で提供しているウイルス対策ソフトウェア「Windows Defender」の商用版である「Windows Defender ATP」を開発するチームによって発見された。

 同チームのAndrea Lelli氏によると、発見のきっかけは「Windows Management Instrumentation Command-line」(WMIC)ツールの利用が急増したことだったという。

提供:Microsoft
提供:Microsoft

 WMICは最近の「Windows」に標準搭載されている正式なツールだが、こういったツールの利用が急増するのは、マルウェアキャンペーンの発生を示していることが多い。

 同社が調査したところ、「.lnk」形式のショートカットファイルをホストしているウェブサイトへのリンクを仕込んだ電子メールをばらまく、大規模なスパム攻撃を利用したマルウェアキャンペーンを発見したという。

 ユーザーの不注意によってこのショートカットファイルがクリックされた場合、サーバー上のBATコマンドラインがWMICツールを起動し、それをきっかけにしてWindowsの正規ツールが次々と実行されていく。

 これらのツールはすべて追加のコードをダウンロードし、その出力をやり取りし合うため、その処理はメモリー上だけで完結する(これがファイルレス手法と呼ばれるゆえんだ)。従来のウイルス対策ソリューションでは、ドライブ上のファイルが走査対象となっているため、ドライブ上にいっさいファイルを保存しないこの手法の検出は難しい。

提供:Microsoft
提供:Microsoft

 この攻撃は最終的に、トロイの木馬であるAstarothをダウンロードして実行していた。Astarothは、さまざまな種類のアプリで使用される認証データをまとめて遠隔地のサーバーにアップロードするという情報窃盗型のマルウェアだ。

 Astarothが最初に確認されたのは2018年のことであり、欧州とブラジルのユーザーを標的にした2019年2月のキャンペーンでも用いられていた。

 Cybereasonが詳細な調査を実施した2月のキャンペーンでも、Microsoftが5月から6月にかけて活動を検出したものと似たような手法が用いられていた。

 Microsoftは米ZDNetに対して、Astarothへの感染の95%以上はブラジルで発生したと述べた。これはCybereasonが分析したキャンペーンと同じ傾向である。

 さらにAstarothの背後にいる脅威アクターは、同様のファイルレス手法を採用した環境寄生型マルウェアにおいて、ほぼ同じツールと、感染までの連鎖形態を用いている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]