マイクロソフト、USBメモリーから感染する「Raspberry Robin」について警告

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2022-10-31 11:04

 Microsoftは米国時間10月27日、USB接続のメモリー/ドライブを介して感染する比較的新しい「Raspberry Robin」ワームに関する警告を発出した。同社は過去30日間で、1000近い組織の3000台近くのデバイスに対して、このワームに起因するペイロード関連の警告を通知しているという。

USBメモリー
提供:M-A-U / Getty Images

 Raspberry Robinマルウェアは過去に、「FakeUpdates」マルウェアを用いてインストールされている事例が確認されている。FakeUpdatesは、ロシアのサイバー犯罪グループであるEvilCorpと関連があるという。またRaspberry Robinは、「LockBit」ランサムウェアのほか、「IcedID」や「Bumblebee」「Truebot」といったマルウェアをデプロイするために用いられてもいる。そして今回、「Clop」ランサムウェアをデプロイする目的でも用いられていることがMicrosoftによって確認された。

 同社は、Raspberry Robinを利用したClopのデプロイを、「DEV-0950」として追跡しているグループの仕業だと推測している。また同グループのアクティビティーは、FireEyeが「FIN11」として追跡している高度なハッキンググループのものと部分的に一致している。FIN11は2021年に、被害者のデータをClopランサムウェアのリークサイトで公開している。

 Microsoft Threat Intelligence Center(MSTIC)は同社ブログに、「DEV-0950はこれまで、フィッシング攻撃によって被害者の多くを生み出してきている。今回、Raspberry Robinの使用目的を変えるという彼らの注目すべき動きによって、既に感染している被害者の元にペイロードを送り込み、より迅速にランサムウェアの段階へと攻撃キャンペーンを移行することが可能になる」と記している。

 セキュリティ企業のRed Canaryは、2021年9月にRaspberry Robinを発見した。同社によるとこのワームは、フォルダーに偽装したLNKショートカットファイルが保存されたUSBメモリー/ドライブを介して「Windows」システムにインストールされるケースが多いという。そしてこのワームは、標的となったユーザーがUSBメモリー/ドライブを接続することでPCやサーバーに感染するようになっている。Windowsではリムーバブルメディアの自動実行(autorun)機能がデフォルトで無効化されているものの、多くの企業がレガシーなグループポリシーを通じてこの機能を有効化しているとMicrosoftは指摘している。

 MSTICが確認したところによると、Raspberry Robinは自動実行機能を悪用する方法と、ユーザーをだましてLNKファイルをクリックさせる方法を併用しているという。

 MSTICは「Raspberry Robinが仕掛けられたUSBメモリー/ドライブの中には、LNKファイルと実行可能ファイルしか保存されていないものがある一方、過去にはある種の設定が施されたautorun.infファイルが保存されているものもあった」と記している。

 この変化は、ショートカットファイルの名前がrecovery.lnkといった一般的なものから、USBメモリー/ドライブのブランド名に変更されたことに関係があると言える。Microsoftは、LNKファイルの名前がブランド名になっていると、ユーザー自身の手によって同ファイルが実行されやすくなるためだと推測している。またこのLNKファイルは、悪意あるペイロードをインストールするために、悪人の手に落ちたQNAPのストレージアプライアンスに対する呼び出しを実行するようにもなっているという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  5. セキュリティ

    「iPhone」の業務活用を促進!セキュリティ対策で必ず押さえておきたいポイントとは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]