編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

露ハッカー集団、マルウェアでウイルス対策のログも収集

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-05-27 12:40

 ESETのセキュリティ研究者の調査で、ロシアのハッカー集団であるTurlaが新しい攻撃手法を採用していることが分かった。Turlaは、ロシア政府の支援を受けて活動しているとされる先進的な攻撃グループの1つだ。

 新たな種類の攻撃手法が見られたのは2020年1月だった。ESETの研究者らによれば、攻撃はコーカサス地方の国のある議会と、西欧の2つの国の外務省を標的としたものだった。国家安全保障上の理由から、具体的な名前は公表されていない。

 攻撃に使用されたマルウェア「ComRAT」(「Agent.BTZ」とも呼ばれる)は、古くから使われているTurlaの攻撃ツールで、2008年には、米国防総省のネットワークからデータを吸い上げるために使われている

 このツールはこれまでに何度かアップデートされており、2014年2017年に新しいバージョンが発見されている。

ウイルス対策のログを分析し始めたTurla

 「ComRAT v4」と呼ばれる最新バージョンは2017年に登場したものだが、米国時間5月26日に公表されたレポートによれば、ESETは2つの新機能を持つComRAT v4の派生バージョンを発見したという。

 1つ目の新機能は、感染したホストからウイルス対策ツールのログを収集し、その情報を指令サーバーの1つにアップロードするというものだ。

 ハッカー集団の意図を正確に把握することは困難だが、このマルウェアを分析したESETの研究者Matthieu Faou氏は米ZDNetに対し、Turlaを運用しているグループは、ウイルス対策ツールのログを収集することで、「自分たちのマルウェアサンプルが検出されているか、検出されている場合、どれが検出されているかを把握しようとしている」可能性があると述べている。

指令サーバーとして「Gmail」を利用

 ComRATの最新バージョンには、もう1つ大きな変更点がある。Faou氏によれば、このマルウェアには2つの指令メカニズムが組み込まれているという。

 1つ目は、HTTP経由でリモートサーバーに接続し、感染したホストで実行する命令を取得するという、従来と同じ仕組みだ。

 新しい2つめの仕組みには「Gmail」のウェブインターフェースが使われている。ComRAT v4の最新バージョンは、被害者のブラウザの1つを乗っ取り、すでに作成されているクッキーファイルを読み込んで、Gmailのウェブインターフェースに接続するという。

 マルウェアはそこで受信トレイの最近のメールを読み込み、そこからファイルの添付ファイルをダウンロードして、それに含まれている命令を読み取る。

 Turlaの運用担当者が感染したホストで動作しているComRATのインスタンスに新しいコマンドを送りたいときは、そのGmailアドレスに電子メールを送る。この方法で送られた命令を実行して収集されたデータは、Gmailの受信トレイに送られ、Turlaの運用担当者にリダイレクトされる仕組みになっている。

Gmail経由での命令のやりとり
提供:ESET

 新しいバージョンのComRATに関する詳細については、ESETのレポートを参照してほしい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]