マイクロソフト、「Astaroth」マルウェアキャンペーンに警鐘

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部

2019-07-09 10:21

 Microsoftのセキュリティチームは米国時間7月8日、「Astaroth」マルウェアを拡散させる目的でのキャンペーンが発生していると警鐘を鳴らした。このキャンペーンは、ファイルレスと「living off the land」(環境寄生型)の手法を組み合わせているため、進行中の攻撃を検知するのが従来型のウイルス対策ソリューションでは困難である。

 この攻撃は、Microsoftが無償で提供しているウイルス対策ソフトウェア「Windows Defender」の商用版である「Windows Defender ATP」を開発するチームによって発見された。

 同チームのAndrea Lelli氏によると、発見のきっかけは「Windows Management Instrumentation Command-line」(WMIC)ツールの利用が急増したことだったという。

提供:Microsoft
提供:Microsoft

 WMICは最近の「Windows」に標準搭載されている正式なツールだが、こういったツールの利用が急増するのは、マルウェアキャンペーンの発生を示していることが多い。

 同社が調査したところ、「.lnk」形式のショートカットファイルをホストしているウェブサイトへのリンクを仕込んだ電子メールをばらまく、大規模なスパム攻撃を利用したマルウェアキャンペーンを発見したという。

 ユーザーの不注意によってこのショートカットファイルがクリックされた場合、サーバー上のBATコマンドラインがWMICツールを起動し、それをきっかけにしてWindowsの正規ツールが次々と実行されていく。

 これらのツールはすべて追加のコードをダウンロードし、その出力をやり取りし合うため、その処理はメモリー上だけで完結する(これがファイルレス手法と呼ばれるゆえんだ)。従来のウイルス対策ソリューションでは、ドライブ上のファイルが走査対象となっているため、ドライブ上にいっさいファイルを保存しないこの手法の検出は難しい。

提供:Microsoft
提供:Microsoft

 この攻撃は最終的に、トロイの木馬であるAstarothをダウンロードして実行していた。Astarothは、さまざまな種類のアプリで使用される認証データをまとめて遠隔地のサーバーにアップロードするという情報窃盗型のマルウェアだ。

 Astarothが最初に確認されたのは2018年のことであり、欧州とブラジルのユーザーを標的にした2019年2月のキャンペーンでも用いられていた。

 Cybereasonが詳細な調査を実施した2月のキャンペーンでも、Microsoftが5月から6月にかけて活動を検出したものと似たような手法が用いられていた。

 Microsoftは米ZDNetに対して、Astarothへの感染の95%以上はブラジルで発生したと述べた。これはCybereasonが分析したキャンペーンと同じ傾向である。

 さらにAstarothの背後にいる脅威アクターは、同様のファイルレス手法を採用した環境寄生型マルウェアにおいて、ほぼ同じツールと、感染までの連鎖形態を用いている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  2. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]