「WannaCrypt」より巧妙? 「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大
6月27日よりランサムウェア「Petya」の感染が欧州を中心に広がっている。「WannaCrypt」と同様に脆弱性「MS17-010」を利用するのはもちろん、Windowsのユーティリティなど、サイバー攻撃で頻繁に利用されるツールが感染活動に悪用されていた。
同マルウェアは、「Petya」のほか、「Petrwrap」「Nyetya」「GoldenEye」といった別名でも呼ばれるランサムウェア。60種類以上のファイルに対して暗号化を行う機能を備えている。
マスターブートレコードを上書きすることから「Petya」の亜種とされる一方、従来の「Petya」にない機能も多数備え、「Petya」とは異なるマルウェアと見るセキュリティベンダーもある。
「WannaCrypt」と同様に攻撃グループ「Shadow Broker」が4月に公開した「EternalBlue」を利用。「Windows」における「SMBv1」処理の脆弱性「MS17-010」を悪用し、ネットワーク経由で感染を拡大するおそれがある。
また「Mimikatz」を利用してアカウント情報を窃取し、Windowsに用意されているユーティリティ「PsExec」や「WMIC(Windows Management Instrumentation Command-line)」を使用してネットワーク内に感染を拡大する機能も備えていたという。
これらはサイバー攻撃で利用される代表的なツールとして知られており、ネットワーク内部へ侵入されるインシデントが発生した際の調査において、実行された痕跡がないかログの調査対象とすべきツールにも挙げられている。
(Security NEXT - 2017/06/28 )
ツイート
関連リンク
PR
関連記事
VPN経由でランサム攻撃、情報の外部公開を確認 - ベル・データ
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
先週注目された記事(2025年3月2日〜2025年3月8日)
【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
「Paragon Partition Manager」に脆弱性 - ランサム攻撃で悪用も
先週注目された記事(2025年2月23日〜2025年3月1日)
オーエム製作所でランサムウェアの被害 - 情報流出のおそれ
ランサム被害が判明、一部店舗で営業停止 - 保険見直し本舗