Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Petya」亜種、複数ベンダーがメールによる拡散を確認 - 会計ソフトの更新機能も標的に

ランサムウェア「Petya」の亜種が、欧州を中心に拡大している問題で、メールを利用した感染活動を複数のベンダーが確認している。

同マルウェアは、「Petya」「Petrwrap」「Nyetya」「GoldenEye」といった名称で呼ばれるランサムウェア。日本マイクロソフトの月例セキュリティ更新「MS17-010」で修正された脆弱性を悪用したり、「PsExec」や「WMIC」といったツールを利用してネットワーク経由で感染を拡大するワームの側面を持つ。

同様の脆弱性を持つ「WannaCrypt」は、初期の感染経路がいまだ明らかになっておらず、同ランサムウェアの初期感染経路にも注目が集まるが、初期の感染経路について「未確認」とするベンダーがいる一方、複数のベンダーがメール経由の拡散を確認している。

Cylanceでは、「Word」のドキュメントや「Excel」のスプレッドシートを利用した感染活動を確認したという。同社が確認した添付ファイルやドロップされるファイルは、いずれもファイル名は「perfc.dat」でファイルサイズは353.9キロバイトだった。

またJuniper Networksは、メールにより拡散されたドキュメントファイルで、脆弱性「CVE-2017-0199」を悪用していたと指摘。「20062017.doc」という名称の添付ファイルを確認しており、実行すると実体は「HTAファイル」である「myguy.xls」へ接続を試み、実行ファイルがダウンロードされるしくみだった。

「CVE-2017-0199」は、OfficeやWordPadにおいてリモートよりコードを実行される脆弱性。マイクロソフトでは4月のセキュリティ更新で脆弱性に対応した。リリース当時、すでにゼロデイ攻撃へ悪用されていたが、最近は「DreamBot」の拡散にも悪用されている。

20170628_kl_002.jpg
カスペルスキーが把握している感染状況。ウクライナが最多でロシアが続く(グラフ:カスペルスキー)

一方Kaspersky Labは、今回の攻撃において、おもにウクライナで使用されている会計ソフト「M.E.Doc」の更新機能が感染活動に悪用されたと説明。

同社の調査においても、特にウクライナにおける感染が目立っている。次いでロシアが多く、ポーランド、イタリア、ドイツが続いている。

(Security NEXT - 2017/06/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
445番ポートへのパケットを継続して観測、「WannaCrypt」の影響収束せず
「Bad Rabbit」の踏み台被害、対応に1カ月弱 - アイカ工業がサイト再開
Avast、Mac向けセキュリティ対策ソフトの新版 - ランサム対策追加
制御システムの37%で攻撃を検知 - 3割が製造業
新種ランサム「Bad Rabbit」は「EternalRomance」を悪用
Symantecも国内で「Bad Rabbit」を検知 - 観測ピークは発生2時間後
ウェブサイトの一部に改ざんの痕跡 - アイカ工業
「ランサムウェア」関連の相談が大幅減 - 一方で被害も