Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型メール攻撃で感染する「Konni」に警戒呼びかけ - 米政府

米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、リモートアクセスツール(RAT)「Konni」について注意喚起を行った。

同マルウェアは、北朝鮮に関連する情報収集などを目的とした活動で知られるトロイの木馬。少なくとも2014年ごろから活動していると見られ、感染活動では、類似したWordドキュメントを用いたり、攻撃対象が重なるなど、「DarkHotel」との関連が指摘されている。

CISAでは、同マルウェアに感染させる標的型攻撃メールが確認されているとして、あらためて注意を呼びかけた。同マルウェアへ感染すると任意のコードを実行されるおそれがあるほか、端末内部のファイルをはじめ、キー入力やクリップボードの内容が窃取されたり、スクリーショットで画面の様子を撮影され、外部に送信されるなど、情報漏洩につながるおそれがある。

攻撃には「VBA(Visual Basic Application)」によるマクロを含んだ「Wordファイル」を使用。メール受信者をだましてマクロを有効化させる手口だが、その際にフォントの色を目立たないよう変更し、悪意あるコードを隠蔽。誤ってマクロを有効化してしまうと、「Windows」の動作環境を確認した上で、コマンドラインを作成、実行してファイルを外部よりダウンロードする。

実行ファイルのダウンロードにあたっては、「base64」でエンコードし、ファイル名なども変更することでセキュリティ対策ソフトによる検知を回避。さらに同じく「base64」でエンコードされた別のバッチファイルをダウンロードし、実行するしくみだった。

CISAでは、同マルウェアの影響を低減するため、エクスプロイトを検出する「Snort」向けの定義ファイルを提供しているほか、基本的なセキュリティ対策を徹底するよう呼びかけている。

(Security NEXT - 2020/08/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

複数端末が「Emotet」感染、なりすましメール送信 - ニッセイコム
「Emotet」に感染、なりすましメールが送信 - マルハニチロ
トレンドマイクロをかたる偽メールに注意 - Emotetを添付
マルウェア「Emotet」が巧妙化、国内で感染拡大 - わずか1.5日で相談23件
国内組織で「HIDDEN COBRA」のマルウェアを観測 - ファイルサイズは約150Mバイト
米政府、北朝鮮関与「BeagleBoyz」に注意喚起 - 金融機関狙う「FASTCash 2.0」を展開か
Docker API狙うマルウェア「Kaiji」など見つかる
米政府、マルウェア「BLINDINGCAN」のIoC情報を公開 - 北朝鮮関与か
米政府、中国関与「Taidoor」の新情報 - セキュ製品未検知の亜種も
攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も