「Stuxnet」直系である「Duqu」のゼロデイ攻撃が判明 - 未修正のWindows脆弱性を悪用
感染後は、SMB共有経由で組織内部のネットワークで拡散するようコマンドを送信しており、インターネットに接続していない端末への感染も確認されている。
さらに「Duqu」がコマンド&コントロールサーバのブリッジを構築。インターネットへアクセスできる端末をプロクシとして利用し、ネットワーク外部へアクセスできない感染端末に対してもピアツーピアで命令を行えるよう設計されていた。
感染数は限られているが、同社ではフランス、オランダ、スイス、ウクライナ、インド、イラン、スーダン、ベトナムの8カ国、6組織において感染を確認。また他セキュリティベンダーが、オーストリア、ハンガリー、インドネシア、イギリスで感染報告を受けている。
アクセス先のコマンド&コントロールサーバは、当初インド国内のIPと通信していたが、ベルギーのサーバとアクセスするプログラムもあらたに発見された。同サーバはすでに現地ISPにより通信が遮断されている。
Symantecは、今回明らかになった感染経路は一例に過ぎず、他組織に対する攻撃では別の手法が用いられている可能性もあると指摘し、注意を呼びかけている。
(Security NEXT - 2011/11/02 )
ツイート
関連リンク
PR
関連記事
第2の「Stuxnet」がさらに進化、「Duqu 2.0」見つかる - イラン核協議の諜報目的か
中東狙う高度なマルウェア「Flamer」見つかる - コードの複雑さは「Stuxnet」や「Duqu」に匹敵
「Duqu」が狙った脆弱性、別の複数プログラムから見つかる - MSが月例パッチで修正
パッチ提供前の脆弱性保護を実現するMSのパートナープログラム - 96時間以内に対応した企業名も公表
今のところ「Duqu」は限定的 - 修正パッチ公開後は攻撃に警戒を
MS、予定より1件少ない月例パッチ13件を公開 - 優先度高いプログラムは2件
MS、12月の月例パッチは14件 - 「Duqu」が悪用する脆弱性も修正予定
リムーバブルメディア経由のマルウェア感染に引き続き注意必要 - マカフィーレポート
Duquは主要セキュリティ対策ソフトで対応可能 - 脆弱性パッチは品質重視で開発中
MS、「Duqu」対策で「Fix it」を緊急提供 - パッチは開発中、月例には含まれず