Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

北朝鮮グループ由来の新種トロイの木馬「BANKSHOT」が判明 - 米政府が注意喚起

7件の実行ファイルのうち、2件がリモートアクセスツール(RAT)として動作。感染した端末でコマンドを実行する機能を搭載していたほか、OpenSSLのライブラリを利用して、コマンド&コントロール(C&C)サーバとの通信を暗号化していた。

また5件については、通信を隠すために多段階のプロキシとして動作する上、その一部は、AppleやGoogle、Microsoft、Dropbox、Wikipediaなど、著名なサイトの公的なSSL証明書を悪用。これらサイトと直接通信することはないが、証明書のデータを用いて偽のTLSハンドシェイクを生成し、通信を隠ぺいしようとしていたという。

20171225_us_001.jpg
「HIDDEN COBRA」では複数のプロクシーを経由させることで攻撃を隠ぺい(図:US-CERT)

(Security NEXT - 2017/12/25 ) このエントリーをはてなブックマークに追加

PR

関連記事