ニュース
» 2016年08月17日 20時57分 UPDATE

日本人が標的のマルウェア出現、工業大学の研究室を名乗るファイルで遠隔操作

感染のきっかけとなるファイルには、関東の工業大学の研究室に関連するおとり文書が使われているという。

[ITmedia]

 セキュリティ企業のパロアルトネットワークスは8月17日、日本人を狙うマルウェア「Aveo」による標的型サイバー攻撃への注意を呼び掛けた。マルウェアの拡散には関東の工業大学の研究室に関連するExcel文書に見せかけたファイルが使われているという。

マルウェアが実行される流れ(パロアルトネットワークスより)

 AveoはExcelファイルのアイコンに偽装したWinRAR自己解凍型の実行ファイルで、ユーザーがこれを実行する偽の文書やトロイの木馬がダウンロードされる。偽の文書は大学の研究室のWebサイトで公開され、研究会参加者の一覧が記載されている。文書は日本語になっており、同時にダウンロードされるファイル(トロイの木馬)の名称も日本語になっていることから、同社がこの攻撃が日本人を狙ったものだと指摘している。

トロイの木馬が送り込まれる際に使われる偽のExcel文書(同)

 ダウンロードされたトロイの木馬は遠隔操作型で、感染先のコンピュータから攻撃者が設置したとみられる米国の複数ドメインに接続し、盗んだ情報を送信したり、攻撃者の命令を受信したりしているとみられる。感染当初は一意のハッシュ、Windowsのバージョン、IPアドレス、ユーザー名などの情報を送信することが分かったという。

 Aveoはその後も感染したコンピュータのレジストリを改ざんするなどして潜伏を続ける。攻撃者からはインタラクティブシェルでのコマンド実行、ファイルの入手・書き込み、読み込み、ドライブのリストなどの命令を受け取り、実行する。

 同社によるとAveoは、2015年に「訃報」メールなどを通じて国内のハイテク・製造業を狙う標的型攻撃に使われたマルウェア「FormerFirstRAT」と多くの類似性がみられるといい、脅威検出の手掛かりとなる以下の情報も公開している。

  • SHA256ハッシュ

9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2

8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d

  • C2ドメイン

snoozetime[.]info

  • レジストリキー

HKCU\software\microsoft\windows\currentversion\run\msnetbridge

  • ファイルのパス

%APPDATA%\MMC\MMC.exe

%TEMP%\MMC\MMC.exe


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ