Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か

メモリ上で動作し、ユーティリティなど一般的なツールのみを攻撃に利用することで、極力痕跡をを残さない標的型攻撃が大規模に展開されていることを露Kaspersky Labが明らかにした。

同社によれば、今回確認された攻撃では、既知の脆弱性を攻撃してサーバのメモリ上に感染。「PowerShell」をはじめ、管理ツールなど一般的なソフトウェアを利用し、外部よりシステムを遠隔操作していたほか、システム管理者のパスワードを収集していたという。

今回検知した攻撃は、複数金融機関のサーバにおいて、メモリ上に本来は存在しないはずの「Meterpreter」が動作していることへ気が付き、問題が発覚した。

同ソフトは、侵入テストなどで用いられる「Metasploit」のモジュール。「PowerShellスクリプト」などのユーティリティなどと組み合わせて攻撃に利用されていた。メモリ上に潜み、端末上にファイルが存在しないためセキュリティ対策ソフトで検知が難しく、フォレンジック調査も難しいとしている。

また発覚の発端となった金融機関以外にも、米国、フランス、エクアドル、ケニア、イギリス、ロシアなど40カ国140組織に対しても同様の攻撃が行われていたことが判明。攻撃者の組織や規模については、ほとんどわかっていないという。

(Security NEXT - 2017/02/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

特別支援学校でデジカメ紛失、生徒画像を保存 - 埼玉県
MS月例パッチがリリース、一部でゼロデイ攻撃が発生 - 公開済み脆弱性にも対処
制御システムのUSB対策製品を強化、一元管理に対応 - 日立
カスペ、ハイブリッド環境を一元管理できるセキュリティ製品
セキュリティアップデート「Firefox 62.0.3」がリリース - 深刻な脆弱性2件を修正
予告より1日前倒し、「Adobe Acrobat/Reader」アップデートが公開 - 脆弱性86件を修正
国保加入者情報入りUSBメモリが3月以降所在不明 - 所沢市
Linuxカーネルに脆弱性「Mutagen Astronomy」、PoCが公開 - 「RHEL」「CentOS」に影響
Windowsの「Jet DBエンジン」にゼロデイ脆弱性 - 報告後120日経過、ZDIが公表
予告どおり「Adobe Acrobat/Reader」のアップデートが公開 - 脆弱性7件を修正