Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WannaCrypt」より巧妙? 「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大

6月27日よりランサムウェア「Petya」の感染が欧州を中心に広がっている。「WannaCrypt」と同様に脆弱性「MS17-010」を利用するのはもちろん、Windowsのユーティリティなど、サイバー攻撃で頻繁に利用されるツールが感染活動に悪用されていた。

同マルウェアは、「Petya」のほか、「Petrwrap」「Nyetya」「GoldenEye」といった別名でも呼ばれるランサムウェア。60種類以上のファイルに対して暗号化を行う機能を備えている。

マスターブートレコードを上書きすることから「Petya」の亜種とされる一方、従来の「Petya」にない機能も多数備え、「Petya」とは異なるマルウェアと見るセキュリティベンダーもある。

「WannaCrypt」と同様に攻撃グループ「Shadow Broker」が4月に公開した「EternalBlue」を利用。「Windows」における「SMBv1」処理の脆弱性「MS17-010」を悪用し、ネットワーク経由で感染を拡大するおそれがある。

また「Mimikatz」を利用してアカウント情報を窃取し、Windowsに用意されているユーティリティ「PsExec」や「WMIC(Windows Management Instrumentation Command-line)」を使用してネットワーク内に感染を拡大する機能も備えていたという。

これらはサイバー攻撃で利用される代表的なツールとして知られており、ネットワーク内部へ侵入されるインシデントが発生した際の調査において、実行された痕跡がないかログの調査対象とすべきツールにも挙げられている。

(Security NEXT - 2017/06/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

メール管理システムがランサムウェア感染 - 神大
脆弱性で感染広げるボットネット「Muhstik」 - 「WebLogic」を標的に
「WebLogic」の脆弱性、ランサムウェアの標的に
世界で68%の企業がサイバー攻撃被害を経験 - 日本は24%
2018年はランサム活動が縮小 - RaaSの「GandCrab」に活発な動き
GWに備えて対策を - 脆弱性や改元対応、BECへの警戒も
個人の半数がデータ消失経験 - 1割はバックアップせず
Androidマルウェア、検知数が 前年比約1.7倍に - 新種ランサムは9分の1
「Coinhive」はマルウェアか - ベンダーの意外な対応
ブラウザの更新通知を偽装する攻撃 - 1700以上の正規サイトに不正スクリプト