マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か

メモリ上で動作し、ユーティリティなど一般的なツールのみを攻撃に利用することで、極力痕跡をを残さない標的型攻撃が大規模に展開されていることを露Kaspersky Labが明らかにした。

同社によれば、今回確認された攻撃では、既知の脆弱性を攻撃してサーバのメモリ上に感染。「PowerShell」をはじめ、管理ツールなど一般的なソフトウェアを利用し、外部よりシステムを遠隔操作していたほか、システム管理者のパスワードを収集していたという。

今回検知した攻撃は、複数金融機関のサーバにおいて、メモリ上に本来は存在しないはずの「Meterpreter」が動作していることへ気が付き、問題が発覚した。

同ソフトは、侵入テストなどで用いられる「Metasploit」のモジュール。「PowerShellスクリプト」などのユーティリティなどと組み合わせて攻撃に利用されていた。メモリ上に潜み、端末上にファイルが存在しないためセキュリティ対策ソフトで検知が難しく、フォレンジック調査も難しいとしている。

また発覚の発端となった金融機関以外にも、米国、フランス、エクアドル、ケニア、イギリス、ロシアなど40カ国140組織に対しても同様の攻撃が行われていたことが判明。攻撃者の組織や規模については、ほとんどわかっていないという。

（Security NEXT - 2017/02/16 ） ツイート

PR

関連記事

パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
まもなくGWの長期休暇 - セキュリティ対策の確認を
学会資料に関する患者情報含んだUSBメモリが所在不明に - 山口大病院
「OpenSSH 10.0」公開、DSA署名廃止 - 認証分離でセキュリティ強化も
「MS Edge」にセキュリティアップデート - 「クリティカル」脆弱性を解消
「Chrome」に2件の脆弱性 - 重要度「クリティカル」も
Apple、「macOS Sequoia 15.4.1」をリリース - 脆弱性2件へ対処
Apple、「iOS 18.4.1」「iPadOS 18.4.1」を公開 - ゼロデイ脆弱性を修正
1Qは「JVN iPedia」に8844件登録 - 「NVD」公開増加が影響