ニュース
» 2021年05月17日 13時24分 公開

MSBuild経由のマルウェア感染が確認される ファイルレスで侵入、現在も攻撃は継続中

2021年4月に入ってから、サイバー犯罪者はMSBuildを使ってファイルレスでマルウェアの感染を広げる新しい手段を見つけたようだ。ファイルレス攻撃はセキュリティソフトウェアによる検出が難しいため警戒が必要だ。

[後藤大地,有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 サイバー犯罪者はセキュリティソフトウェアによる検出を回避するために「ファイルを使わない(ファイルレス)で感染を広げる方法」を常に探している。ファイルレスのアプローチはセキュリティソフトウェアによる検出が難しく、攻撃に有利だからだ。残念なことに、2021年4月に入ってからサイバー犯罪者はファイルレス攻撃に利用できる新しい方法を発見したと見られる。

 セキュリティ企業のAnomaliは2021年5月13日(現地時間)、Microsoftのオープンソースソフトウェアである「Microsoft Build Engine(MSBuild)」を使ってファイルレスでマルウェアを配布するキャンペーンを確認したと伝えた。このキャンペーンではリモートアクセスツールである「RemcosRAT」とパスワード窃取用マルウェアである「RedLine Stealer」の配布が確認されたとしている。攻撃キャンペーンは2021年4月に始まり、2021年5月11日の時点でも継続しているという。

MSBuild Used By Threat Actors to Deliver RATs Filelessly MSBuildがファイルレス攻撃に悪用されている事を伝える記事(AnomaliのWebページより)

ファイルレス攻撃への対策はどうすればよいのか

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ