Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃で利用される「Poison Ivy」にあらたな攻撃手法 - DLLプリロードを活用

米Trend Microは、サイバー攻撃に用いられるリモートアクセス管理ツール「Poison Ivy」が、「DLLプリロード」を活用するあらたな感染活動を展開していることを明らかにした。

今回同社が発見したのは、正規アプリやファイルと同じフォルダにマルウェアを配置し、起動時にライブラリファイルと見せかけて読み込ませる攻撃。ほかのリモートアクセスツールで、同様の攻撃が確認されているが、「Poison Ivy」でこうした手法が見つかったのは今回がはじめてだという。

同社が確認した「BKDR_POISON.BTA」は、「VMware Network Install Library」の実行ファイルと同じフォルダに自身をコピー。アプリを起動するとマルウェアが読み込まれ、レジストリを変更する。

感染後は、Windowsの起動ごとに自動実行する環境を構築。さらに「Internet Explorer」を非表示で開き、プロセスに不正コードを組み込むほか、ファイアウォールを回避するバックドアを設置する。

また別の攻撃では、Officeが利用する「imeshare.dll」に見せかけたマルウェアと文書ファイルをメールで送り付ける攻撃も確認されている。

こうした手法は、これまでも標的型攻撃で用いられるリモートアクセスツール「PlugX」で見られたという。同ツールは、「Poison Ivy」との関連性も疑われており、「PlugX」で有効性を確認できたことから、実装された可能性があると同社では分析している。

今後、他攻撃ツールやマルウェアが同様の手法をとる可能性があり、注意が必要だという。

(Security NEXT - 2013/07/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

大阪北部地震へ便乗するサイバー攻撃や詐欺などに警戒を
アナリスト向け国内カンファレンス「JSAC 2019」が開催決定 - 論文募集を開始
米政府、北朝鮮政府関与のトロイの木馬「TYPEFRAME」を警告 - 米朝対話の裏で駆け引き
2017年の新種ランサムウェア、前年比62%増 - 「WannaCrypt」検出、日本は2位
海外子会社に不正アクセス、顧客情報流出の可能性 - 野村HD
緊急対応支援、「サーバ不正侵入」が半数超 - 仮想通貨発掘スクリプトが埋め込まれる被害も
米朝首脳会談の影響で韓国に対する攻撃が増加 - 周辺国関連組織が関与か
「W杯」便乗のサイバー攻撃に注意を - 選手の検索結果に危険が潜む場合も
複数ネットワーク機器に感染する「VPNFilter」が判明 - 少なくとも54カ国50万台に感染か
メール添付で4月も多数流通、請求書などに偽装するマルウェア