東アジアを狙うマルウェア「UBoatRAT」、日本のWebサーバも攻撃に利用

[鈴木聖子，ITmedia]

　セキュリティ企業のPalo Alto Networksは11月28日、「UBoatRAT」と呼ばれる新手のマルウェアを使った攻撃が東アジアで確認されたと伝えた。攻撃にはGoogleやMicrosoftのサービスを駆使し、日本のWebサーバも利用されていたという。

　Palo Alto Networksによると、UBoatRATはシステムに潜伏してバックドアを仕掛ける「Remote Access Trojan（RAT＝リモートアクセス型のトロイの木馬）」に分類されるマルウェア。最初のバージョンが2017年3月に発見された時点では、香港のブログサービスと、改ざんされた日本のWebサーバを使う単純な仕組みを実装していた。

　6月には新機能を搭載した更新版が公開され、9月に発見された最新バージョンでは、主に韓国あるいは、ゲーム業界に関係する組織や個人を標的としていた。UBoatRAT関連のファイルには、韓国語のゲームタイトル名や、韓国のゲーム会社の名称が含まれていたという。

UBoatRAT関連のファイルには、韓国語のゲームタイトル名や、韓国のゲーム会社の名称が含まれていたという（出典：Palo Alto Networks）

　マルウェアの拡散にはGoogle Driveを利用していることが判明。Google Driveでホスティングされたzipアーカイブには、ExcelやWordファイルなどに見せかけた悪質な実行可能ファイルが含まれていた。

　感染したシステムにはバックドアが仕込まれ、GitHub経由で指令を受け取って、攻撃者のサーバと通信する仕組みだった。システムへの常駐には、マシン間のファイル転送に使われるMicrosoft Windowsの「バックグラウンドインテリジェント転送サービス」（BITS）が使われていた。

マルウェアの拡散にはGoogle Driveを利用していた（出典：Palo Alto Networks）

　UBoatRATのサンプルは現時点で14本、攻撃に関連したダウンローダーは1本が確認されているという。UBoatRATのコードやGitHubのアカウントが頻繁に更新されていることから、「作者は精力的に開発やテストを続けているようだ」とPalo Alto Networksは推測し、今後も動向を監視し続けるとしている。