Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Petya」亜種、複数ベンダーがメールによる拡散を確認 - 会計ソフトの更新機能も標的に

ランサムウェア「Petya」の亜種が、欧州を中心に拡大している問題で、メールを利用した感染活動を複数のベンダーが確認している。

同マルウェアは、「Petya」「Petrwrap」「Nyetya」「GoldenEye」といった名称で呼ばれるランサムウェア。日本マイクロソフトの月例セキュリティ更新「MS17-010」で修正された脆弱性を悪用したり、「PsExec」や「WMIC」といったツールを利用してネットワーク経由で感染を拡大するワームの側面を持つ。

同様の脆弱性を持つ「WannaCrypt」は、初期の感染経路がいまだ明らかになっておらず、同ランサムウェアの初期感染経路にも注目が集まるが、初期の感染経路について「未確認」とするベンダーがいる一方、複数のベンダーがメール経由の拡散を確認している。

Cylanceでは、「Word」のドキュメントや「Excel」のスプレッドシートを利用した感染活動を確認したという。同社が確認した添付ファイルやドロップされるファイルは、いずれもファイル名は「perfc.dat」でファイルサイズは353.9キロバイトだった。

またJuniper Networksは、メールにより拡散されたドキュメントファイルで、脆弱性「CVE-2017-0199」を悪用していたと指摘。「20062017.doc」という名称の添付ファイルを確認しており、実行すると実体は「HTAファイル」である「myguy.xls」へ接続を試み、実行ファイルがダウンロードされるしくみだった。

「CVE-2017-0199」は、OfficeやWordPadにおいてリモートよりコードを実行される脆弱性。マイクロソフトでは4月のセキュリティ更新で脆弱性に対応した。リリース当時、すでにゼロデイ攻撃へ悪用されていたが、最近は「DreamBot」の拡散にも悪用されている。

20170628_kl_002.jpg
カスペルスキーが把握している感染状況。ウクライナが最多でロシアが続く(グラフ:カスペルスキー)

一方Kaspersky Labは、今回の攻撃において、おもにウクライナで使用されている会計ソフト「M.E.Doc」の更新機能が感染活動に悪用されたと説明。

同社の調査においても、特にウクライナにおける感染が目立っている。次いでロシアが多く、ポーランド、イタリア、ドイツが続いている。

(Security NEXT - 2017/06/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

世界で68%の企業がサイバー攻撃被害を経験 - 日本は24%
GWに備えて対策を - 脆弱性や改元対応、BECへの警戒も
個人の半数がデータ消失経験 - 1割はバックアップせず
Androidマルウェア、検知数が 前年比約1.7倍に - 新種ランサムは9分の1
「Coinhive」はマルウェアか - ベンダーの意外な対応
ブラウザの更新通知を偽装する攻撃 - 1700以上の正規サイトに不正スクリプト
ランサムウェア「GandCrab」の復号ツールが機能強化 - 最新版にも対応
2018年「セキュリティ10大脅威」 - 注目高まる「サプライチェーン攻撃」
ランサムウェア「PyLocky」の無料復号ツールが公開 - ただし条件あり
恥ずかし画像で不安煽る詐欺メール、送信元を情セ大に偽装