Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型メール攻撃で感染する「Konni」に警戒呼びかけ - 米政府

米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、リモートアクセスツール(RAT)「Konni」について注意喚起を行った。

同マルウェアは、北朝鮮に関連する情報収集などを目的とした活動で知られるトロイの木馬。少なくとも2014年ごろから活動していると見られ、感染活動では、類似したWordドキュメントを用いたり、攻撃対象が重なるなど、「DarkHotel」との関連が指摘されている。

CISAでは、同マルウェアに感染させる標的型攻撃メールが確認されているとして、あらためて注意を呼びかけた。同マルウェアへ感染すると任意のコードを実行されるおそれがあるほか、端末内部のファイルをはじめ、キー入力やクリップボードの内容が窃取されたり、スクリーショットで画面の様子を撮影され、外部に送信されるなど、情報漏洩につながるおそれがある。

攻撃には「VBA(Visual Basic Application)」によるマクロを含んだ「Wordファイル」を使用。メール受信者をだましてマクロを有効化させる手口だが、その際にフォントの色を目立たないよう変更し、悪意あるコードを隠蔽。誤ってマクロを有効化してしまうと、「Windows」の動作環境を確認した上で、コマンドラインを作成、実行してファイルを外部よりダウンロードする。

実行ファイルのダウンロードにあたっては、「base64」でエンコードし、ファイル名なども変更することでセキュリティ対策ソフトによる検知を回避。さらに同じく「base64」でエンコードされた別のバッチファイルをダウンロードし、実行するしくみだった。

CISAでは、同マルウェアの影響を低減するため、エクスプロイトを検出する「Snort」向けの定義ファイルを提供しているほか、基本的なセキュリティ対策を徹底するよう呼びかけている。

(Security NEXT - 2020/08/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

北朝鮮グループ「Lazarus」が悪用する10種類のツール
活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も
12月21日より「Emotet」感染メール増加 - あらためて警戒を
SolarWinds製品の侵害、米国中心に検出 - 国内でも
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用
福島県立医大付属病院で2度のランサムウェア被害
凶暴性増すランサムウェアの裏側 - 今すぐ確認したい「意外な設定」
「Emotet」だけじゃない - メール返信偽装、PW付zipファイル悪用マルウェアに要警戒
職員端末が「Emotet」感染、診療系システムには影響なし - 関西医科大
米政府、医療分野を標的としたランサムウェアに注意喚起 - DNSで通信して検知回避