Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型メール攻撃で感染する「Konni」に警戒呼びかけ - 米政府

米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、リモートアクセスツール(RAT)「Konni」について注意喚起を行った。

同マルウェアは、北朝鮮に関連する情報収集などを目的とした活動で知られるトロイの木馬。少なくとも2014年ごろから活動していると見られ、感染活動では、類似したWordドキュメントを用いたり、攻撃対象が重なるなど、「DarkHotel」との関連が指摘されている。

CISAでは、同マルウェアに感染させる標的型攻撃メールが確認されているとして、あらためて注意を呼びかけた。同マルウェアへ感染すると任意のコードを実行されるおそれがあるほか、端末内部のファイルをはじめ、キー入力やクリップボードの内容が窃取されたり、スクリーショットで画面の様子を撮影され、外部に送信されるなど、情報漏洩につながるおそれがある。

攻撃には「VBA(Visual Basic Application)」によるマクロを含んだ「Wordファイル」を使用。メール受信者をだましてマクロを有効化させる手口だが、その際にフォントの色を目立たないよう変更し、悪意あるコードを隠蔽。誤ってマクロを有効化してしまうと、「Windows」の動作環境を確認した上で、コマンドラインを作成、実行してファイルを外部よりダウンロードする。

実行ファイルのダウンロードにあたっては、「base64」でエンコードし、ファイル名なども変更することでセキュリティ対策ソフトによる検知を回避。さらに同じく「base64」でエンコードされた別のバッチファイルをダウンロードし、実行するしくみだった。

CISAでは、同マルウェアの影響を低減するため、エクスプロイトを検出する「Snort」向けの定義ファイルを提供しているほか、基本的なセキュリティ対策を徹底するよう呼びかけている。

(Security NEXT - 2020/08/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

職員3人「Emotet」感染、認証情報窃取されスパム踏み台に - 室蘭工業大
QNAP、NASのファームウェア更新を呼びかけ - あらたなランサム攻撃を調査中
神奈川県が偽サイトに注意喚起 - マルウェア感染のおそれ
「Emotet」感染でアカウント奪われ、大量のメール送信 - 埼大
MSDTのゼロデイ脆弱性、悪用拡大中 - 「QBot」の拡散にも
高齢者支援施設名乗る不審メール出回るもマルウェア感染確認されず - 仙台市
未感染者にも及ぶ「Emotet」被害 - なりすまされ、約10万件のメール
新手の攻撃?と思いきや、被害組織のPPAPシステムが「Emotet」メールも暗号化
開くだけで感染、「Emotet」新手口 - 「アイコン偽装」でさらに拡張子を隠蔽
「Emotet」にあらたな感染手口 - マクロ無効でも感染