Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RATの「PlugX」に新型亜種 - 隠蔽機能を強化

遠隔操作に用いられる「リモートアクセスツール(RAT)」のひとつである「PlugX」に、あらたな亜種が発見された。組織内部へ侵入後に検知されないよう機能強化が図られていたという。

標的型攻撃では、感染端末を外部から遠隔操作するために「Poison Ivy」や「PlugX」といった「リモートアクセスツール(RAT)」が用いられるが、6月中旬以降に発生している標的型攻撃で「PlugX」のあらたな亜種が利用されていた。トレンドマイクロが確認した。

「PlugX」は、「OSコマンドの実行」「画面キャプチャの窃取」のほか、端末の操作やネットワークの調査、コマンドの実行など多彩な機能を搭載している。

今回トレンドマイクロが確認した亜種では、セキュリティ対策ソフトの検知を逃れるため、不正コード内の一部文字列に対し、難読化の処理が行われていたという。

同社によれば、難読化解除処理をエミュレートすることで解析に成功し、詳細を調べたところ、通信に利用するHTTPヘッダの内容が変化しており、特徴的だった通信内容を変更していることが判明。検出を免れるための対策だと分析している。また、あらたにブラウザ「FireFox」の設定情報を窃取する機能も追加されていた。

対策が講じられることを避けるためか、検出数は数十程度と少ないが、継続的に攻撃が発生している。また毎月中旬から下旬にかけて検出数が増加する傾向を確認しており、同社は、組織内の人事通達など装った標的型メールなどへ悪用されている可能性もあると指摘している。

(Security NEXT - 2014/08/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

MS、定例外パッチでDC認証エラーの問題を解消
サポート担当の業務委託先が侵害被害 - Okta
SMB向けのSonicWall製VPN製品、脆弱性未修正機器が多数稼働か
SonicWall製VPN製品の脆弱性を狙った攻撃が発生 - 早急に更新を
年末年始の長期休暇に向けた準備を - 脆弱性やパッチ公開に注意を
VPN製品「SonicWall SMA 100シリーズ」に深刻な脆弱性 - WAF有効時も影響、早急に対応を
VPN製品「SonicWall SMA100シリーズ」に深刻な脆弱性 - 早急に更新を
米政府、リモートや管理者アクセス時の「単一要素認証」を悪習リストに追加
VPN機器や端末などテレワーク環境のセキュリティを評価するサービス
MSPも利用するIT管理ツールがゼロデイ攻撃の標的に - 日本でも検知