マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か
メモリ上で動作し、ユーティリティなど一般的なツールのみを攻撃に利用することで、極力痕跡をを残さない標的型攻撃が大規模に展開されていることを露Kaspersky Labが明らかにした。
同社によれば、今回確認された攻撃では、既知の脆弱性を攻撃してサーバのメモリ上に感染。「PowerShell」をはじめ、管理ツールなど一般的なソフトウェアを利用し、外部よりシステムを遠隔操作していたほか、システム管理者のパスワードを収集していたという。
今回検知した攻撃は、複数金融機関のサーバにおいて、メモリ上に本来は存在しないはずの「Meterpreter」が動作していることへ気が付き、問題が発覚した。
同ソフトは、侵入テストなどで用いられる「Metasploit」のモジュール。「PowerShellスクリプト」などのユーティリティなどと組み合わせて攻撃に利用されていた。メモリ上に潜み、端末上にファイルが存在しないためセキュリティ対策ソフトで検知が難しく、フォレンジック調査も難しいとしている。
また発覚の発端となった金融機関以外にも、米国、フランス、エクアドル、ケニア、イギリス、ロシアなど40カ国140組織に対しても同様の攻撃が行われていたことが判明。攻撃者の組織や規模については、ほとんどわかっていないという。
(Security NEXT - 2017/02/16 )
ツイート
関連リンク
PR
関連記事
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
「Firefox 140」がリリース - 脆弱性13件を解消
「Chrome 138」を公開 - 11件のセキュリティ修正
ブラウザ「MS Edge」に関する脆弱性2件を解消 - MS
マルウェア対策ソフト「ClamAV」に深刻な脆弱性 - パッチが公開
「Chrome」にアップデート - 3件のセキュリティ修正