Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WannaCrypt」より巧妙? 「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大

6月27日よりランサムウェア「Petya」の感染が欧州を中心に広がっている。「WannaCrypt」と同様に脆弱性「MS17-010」を利用するのはもちろん、Windowsのユーティリティなど、サイバー攻撃で頻繁に利用されるツールが感染活動に悪用されていた。

同マルウェアは、「Petya」のほか、「Petrwrap」「Nyetya」「GoldenEye」といった別名でも呼ばれるランサムウェア。60種類以上のファイルに対して暗号化を行う機能を備えている。

マスターブートレコードを上書きすることから「Petya」の亜種とされる一方、従来の「Petya」にない機能も多数備え、「Petya」とは異なるマルウェアと見るセキュリティベンダーもある。

「WannaCrypt」と同様に攻撃グループ「Shadow Broker」が4月に公開した「EternalBlue」を利用。「Windows」における「SMBv1」処理の脆弱性「MS17-010」を悪用し、ネットワーク経由で感染を拡大するおそれがある。

また「Mimikatz」を利用してアカウント情報を窃取し、Windowsに用意されているユーティリティ「PsExec」や「WMIC(Windows Management Instrumentation Command-line)」を使用してネットワーク内に感染を拡大する機能も備えていたという。

これらはサイバー攻撃で利用される代表的なツールとして知られており、ネットワーク内部へ侵入されるインシデントが発生した際の調査において、実行された痕跡がないかログの調査対象とすべきツールにも挙げられている。

(Security NEXT - 2017/06/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

知人からのメール装い感染狙うランサムウェア「Mailto」に注意
2019年のマルウェア届出は259件 - 18件で被害
Android向け不正送金マルウェアが進化 - 海外へSMS送信
2割弱の中小企業が被害経験 - 「攻撃対象となる可能性高い」6.2%
IPAが「10大脅威2020」を発表 - 「内部不正」「IT基盤の障害」など順位上昇
2018年「セキュリティ10大脅威」 - 注目高まる「サプライチェーン攻撃」
Pulse Secureの既知VPN脆弱性、ランサムウェアの標的に
「Emotet」の脅威(1) - 組織やビジネスへの影響を考える
長期休暇に向けてセキュリティ対策の再確認を
「BlueKeep」など既知RDP脆弱性狙う攻撃に注意 - パッチ適用の徹底を