標的型メール攻撃で感染する「Konni」に警戒呼びかけ - 米政府

米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、リモートアクセスツール（RAT）「Konni」について注意喚起を行った。

同マルウェアは、北朝鮮に関連する情報収集などを目的とした活動で知られるトロイの木馬。少なくとも2014年ごろから活動していると見られ、感染活動では、類似したWordドキュメントを用いたり、攻撃対象が重なるなど、「DarkHotel」との関連が指摘されている。

CISAでは、同マルウェアに感染させる標的型攻撃メールが確認されているとして、あらためて注意を呼びかけた。同マルウェアへ感染すると任意のコードを実行されるおそれがあるほか、端末内部のファイルをはじめ、キー入力やクリップボードの内容が窃取されたり、スクリーショットで画面の様子を撮影され、外部に送信されるなど、情報漏洩につながるおそれがある。

攻撃には「VBA（Visual Basic Application）」によるマクロを含んだ「Wordファイル」を使用。メール受信者をだましてマクロを有効化させる手口だが、その際にフォントの色を目立たないよう変更し、悪意あるコードを隠蔽。誤ってマクロを有効化してしまうと、「Windows」の動作環境を確認した上で、コマンドラインを作成、実行してファイルを外部よりダウンロードする。

実行ファイルのダウンロードにあたっては、「base64」でエンコードし、ファイル名なども変更することでセキュリティ対策ソフトによる検知を回避。さらに同じく「base64」でエンコードされた別のバッチファイルをダウンロードし、実行するしくみだった。

CISAでは、同マルウェアの影響を低減するため、エクスプロイトを検出する「Snort」向けの定義ファイルを提供しているほか、基本的なセキュリティ対策を徹底するよう呼びかけている。

（Security NEXT - 2020/08/18 ） ツイート

PR

関連記事

ランサムウェア「LockBit 3.0」の詳細情報を公開、注意を喚起 - 米政府
「Emotet」に新手口、OneNote形式を悪用 - 拡張子「.one」に警戒を
「ChatGPT」に便乗、偽アプリが出回る - 実際は情報盗むマルウェア
ランサムウェア「ESXiArgs」対応でCISAとFBIが共同ガイダンス
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
ランサム身代金、FBIは支払いに否定的ながらも一定の理解
Windows経由でIoT機器に感染広げるボットネット - 標的は「Minecraft」
研究者狙うサイバー攻撃、講演や取材の依頼を偽装
活動再開の「Emotet」、1日あたり約十万件の攻撃メールを配信
漁協直売店で「なりすましメール」 - 8月の「Emotet」感染が原因か