Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型メール攻撃で感染する「Konni」に警戒呼びかけ - 米政府

米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、リモートアクセスツール(RAT)「Konni」について注意喚起を行った。

同マルウェアは、北朝鮮に関連する情報収集などを目的とした活動で知られるトロイの木馬。少なくとも2014年ごろから活動していると見られ、感染活動では、類似したWordドキュメントを用いたり、攻撃対象が重なるなど、「DarkHotel」との関連が指摘されている。

CISAでは、同マルウェアに感染させる標的型攻撃メールが確認されているとして、あらためて注意を呼びかけた。同マルウェアへ感染すると任意のコードを実行されるおそれがあるほか、端末内部のファイルをはじめ、キー入力やクリップボードの内容が窃取されたり、スクリーショットで画面の様子を撮影され、外部に送信されるなど、情報漏洩につながるおそれがある。

攻撃には「VBA(Visual Basic Application)」によるマクロを含んだ「Wordファイル」を使用。メール受信者をだましてマクロを有効化させる手口だが、その際にフォントの色を目立たないよう変更し、悪意あるコードを隠蔽。誤ってマクロを有効化してしまうと、「Windows」の動作環境を確認した上で、コマンドラインを作成、実行してファイルを外部よりダウンロードする。

実行ファイルのダウンロードにあたっては、「base64」でエンコードし、ファイル名なども変更することでセキュリティ対策ソフトによる検知を回避。さらに同じく「base64」でエンコードされた別のバッチファイルをダウンロードし、実行するしくみだった。

CISAでは、同マルウェアの影響を低減するため、エクスプロイトを検出する「Snort」向けの定義ファイルを提供しているほか、基本的なセキュリティ対策を徹底するよう呼びかけている。

(Security NEXT - 2020/08/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

発覚2カ月前にもマルウェア実行の痕跡、情報流出は否定 - こころネット
ランサムウェア「ALPHV」、医療分野中心に被害拡大
「環境変数ファイル」など狙うマルウェア「Androxgh0st」
ランサムウェア「Play」に警戒を - 米豪当局が注意喚起
サポート詐欺でPC遠隔操作、情報流出は否定 - 京都教育大付属中
Android狙うマルウェア「Infamous Chisel」 - 海外当局がロシア関与と分析
国際連携でボットネット「QakBot」が解体 - 展開済みマルウェアに注意を
「Barracuda ESG」へのゼロデイ攻撃 - フォレンジック調査に対抗、活動を隠蔽
「Barracuda ESG」を侵害するバックドア、分析レポートの続報
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡