マイクロソフト、航空宇宙業界など狙うマルウェアを注意喚起

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2021-05-14 12:35

 Microsoftは、リモートアクセス型トロイの木馬(RAT)である「RevengeRAT」について、航空宇宙業界や旅行業界を対象としたスピアフィッシング攻撃に用いられているとして警告を発した。

 RevengeRATは「AsyncRAT」という名称でも知られており、巧妙な作りの電子メールによって従業員をだまし、PDF形式に見せかけた添付ファイルを開かせることで拡散している。受信者がこういった添付ファイルを開くと、悪意のあるVisual Basic(VB)ファイルがダウンロードされるようになっている。

 セキュリティ企業のMorphisecは最近、複数のRATファミリーを送り込む、洗練されたCrypter-as-a-Serviceを構成する2種類のRATを発見したと米国時間5月7日に報告していた。

 Microsoftは、RevengeRAT/AsyncRATを送り込むためのローダーがフィッシングメールによって拡散されているとツイートしている。Morphisecは「Agent Tesla」というRATが用いられる事例も確認している。

 Microsoftは「この攻撃キャンペーンでは、実在の組織をかたり、航空や旅行、貨物に関連する事柄をおとりにした電子メールが用いられている。PDFファイルを思わせる添付ファイルには、埋め込みリンク(たいていの場合、正当なウェブサービスを悪用している)が含まれており、悪意あるVBScriptをダウンロードするようになっている。そしてこのVBScriptによってRATのペイロードが送り込まれる」としている。

 Morphisecは、同社が以前に発見した、このマルウェアの亜種で使われていたユーザー名から、このCrypterサービスを「Snip3」と命名している。

 Snip3は、Windowsサンドボックス内で実行されていることを検出した場合、RATをロードしないように設定されている。なおWindowsサンドボックスは、仮想マシン(VM)を用いてセキュリティ保護を提供するという、Microsoftが2018年に導入したメカニズムであり、ユーザーはこれを利用することで、悪意を持っている可能性のある実行可能ファイルを、ホストOSに影響を与えない安全なサンドボックス(砂場)内で実行できるようになる。

 Morphisecは「(攻撃者によって)設定されている場合、PowerShellはスクリプトがMicrosoftサンドボックスや、VMware製品、Oracle VM VirtualBox、Sandboxieの環境内で実行されているかどうかを検出するような機能を提供している」と同報告に記している。

 「問題のスクリプトは、これらVM環境のいずれかで実行されていることを検出した場合、RATのペイロードをロードせずに終了する」(Morphisec)

 しかし、これらのRATがインストールされた場合、コマンド&コントロール(C2)サーバーへの接続後、pastebin.comなどのテキスト貼り付けサイトからさらなるマルウェアがダウンロードされることになる。

 こういったRATは認証情報や、ウェブカメラからの動画や画像、コピー&ペースト時にシステムのクリップボード上にコピーされたものを窃取するという点で、どのようなシステムにとっても危険なマルウェアだといえる。

 Microsoftは「RATは、動的ホストサイト上でホストされているC2サーバーに接続し、攻撃者に被害者の情報を知らせた後、UTF-8エンコード方式でコード化されたPowerShellスクリプトとファイルレス技術を利用し、pastebin.comや類似のテキスト貼り付けサイトから、3段階のダウンロードを実行する」とツイートしている。

 Microsoftによると、「このトロイの木馬はRegAsmやInstallUtil、RevSvcsといったプロセスにインジェクション攻撃を仕掛けられるようになるまで、コンポーネント群を再実行し続ける」という。認証情報、スクリーンショット、ウェブカメラのデータ、ブラウザーとクリップボードのデータなどを盗むという。

 Microsoftは、セキュリティチームがこれらの脅威をネットワークで検知した場合に利用できる高度なハンティングクエリーをGitHubで公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]