標的型攻撃で利用される「Poison Ivy」にあらたな攻撃手法 - DLLプリロードを活用
米Trend Microは、サイバー攻撃に用いられるリモートアクセス管理ツール「Poison Ivy」が、「DLLプリロード」を活用するあらたな感染活動を展開していることを明らかにした。
今回同社が発見したのは、正規アプリやファイルと同じフォルダにマルウェアを配置し、起動時にライブラリファイルと見せかけて読み込ませる攻撃。ほかのリモートアクセスツールで、同様の攻撃が確認されているが、「Poison Ivy」でこうした手法が見つかったのは今回がはじめてだという。
同社が確認した「BKDR_POISON.BTA」は、「VMware Network Install Library」の実行ファイルと同じフォルダに自身をコピー。アプリを起動するとマルウェアが読み込まれ、レジストリを変更する。
感染後は、Windowsの起動ごとに自動実行する環境を構築。さらに「Internet Explorer」を非表示で開き、プロセスに不正コードを組み込むほか、ファイアウォールを回避するバックドアを設置する。
また別の攻撃では、Officeが利用する「imeshare.dll」に見せかけたマルウェアと文書ファイルをメールで送り付ける攻撃も確認されている。
こうした手法は、これまでも標的型攻撃で用いられるリモートアクセスツール「PlugX」で見られたという。同ツールは、「Poison Ivy」との関連性も疑われており、「PlugX」で有効性を確認できたことから、実装された可能性があると同社では分析している。
今後、他攻撃ツールやマルウェアが同様の手法をとる可能性があり、注意が必要だという。
(Security NEXT - 2013/07/09 )
ツイート
関連リンク
PR
関連記事
高野総合Gへのランサム攻撃 - 通信機器の設定ミスに起因か
「CODE BLUE 2024」の講演が決定 - 脅威関連から、AI、情報戦まで
Doctor Webに標的型攻撃 - マルウェアDB配信を一時停止
賃貸不動産内覧サービスに不正アクセス - クラウドのアクセスキーが漏洩
「TSUBAME」の観測グラフを公開休止 - より利便性の高いデータ提供を検討
巧妙化続くサポート詐欺、窓口相談は前年度の約1.6倍
委託先よりDBアカウント漏洩、医療従事者情報が流出 - サノフィ
モバイルアプリ解析ツール「MobSF」に脆弱性 - アップデートで修正
「Mirai」と異なるボット、国内ベンダーのルータに感染拡大か
「Microsoft COM」既知脆弱性に悪用報告 - 台湾狙う攻撃に使用