Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2月に「Bedep」感染を多数観測 - 「Angler EK」で拡散か

国内において、マルウェア「Bedep」の感染が、1月中旬から3月後半にかけて観測されたことがわかった。同マルウェアは、不正送金マルウェア「Gozi」と一緒に見つかることも多いという。

ラックが、2016年第1四半期における同社セキュリティ監視センター「JSOC」の観測動向を取りまとめたもの。同社によれば、「Bedep」の感染端末による通信は、1月中旬より検知数が増加。ピークを迎えた2月第3週には40件を突破したという。以降はやや落ち着いたものの検知が続いた。

同マルウェアは、感染後にコマンド&コントロール(C&C)サーバと通信。他マルウェアへの感染を引き起こすほか、ウェブ広告にアクセスし、クリック詐欺などを行うことで知られる。またC&Cサーバのドメインを特定のアルゴリズムで生成、接続先を変更することで、フィルタイングといった対策をすり抜ける。

同社では、感染前にエクスプロイトキットの「Angler」へ接続したケースを確認しており、同エクスプロイトにより、「Adobe Flash Player」や「Silverlight」などの脆弱性が悪用され、感染した可能性があると同社では見ている。

実際に「Angler EK」経由の感染も確認されている。マルウェア感染を狙った悪意ある広告配信「マルバタイジング」が3月に米国で展開され、利用者の多い著名サイトなどから、「Bedep」の亜種へ感染させる攻撃が発生した

また「Bedep」は、不正送金マルウェア「Gozi」とともに検知されるケースがある。「Gozi」は、「Ursnif」「Snifula」「Papras」といった別名でも知られるトロイの木馬。金融機関の情報などを端末から窃取する機能を搭載している。

最近、国内において「Gozi」の感染拡大が懸念されており、6月に入ってセキュリティ機関やセキュリティベンダーより注意喚起が出されたが、そのなかで、ラックは「Gozi」の感染端末における特徴として、「Bedep」の通信とあわせて検知する場合が多いことを挙げている

これらマルウェアの共通点としては、「Angler EK」が浮かび上がる。Proofpointの研究者が、3月に「Angler EK」が、「Adobe Flash Player」の脆弱性「CVE-2016-1001」を悪用することを確認したが、その際に「Gozi」や「Teslacrypt 」「Locky」「Dridex」などとともに、「Bedep」を配布していた。

これらマルウェアは、各社セキュリティ対策ソフトのほか、マイクロソフトによってWindows向けに無償で提供されている「悪意のあるソフトウェアの削除ツール(MSRT)」でも対応している。「Bedep」に関しては4月、「Gozi」は6月の更新より対象となった。

(Security NEXT - 2016/06/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

仮想通貨発掘マルウェアが侵入、393台に感染拡大 - 甲南学園
2018年2Q、攻撃検知数が前期比20.9%増 - カスペまとめ
北朝鮮関与のあらたなマルウェア「KEYMARBLE」 - 米政府が注意喚起
ウォッチガード、UTM向けに新版OS - Cylanceのマルウェア対策エンジンを採用
拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通
2017年4Q、不正送金マルウェアが1.6倍に - 年初の70倍
Mac向けセキュリティ対策ソフトの新版 - カスペルスキー
「おまえのパスワードはこれだ」と脅すメール - 仮想通貨を要求
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
定例パッチ公開日、盆休みを直撃 - 夏期休暇に備えてセキュリティ対策を