「Emdivi」拡散に「Angler EK」を使用か - 「ZeusVM」にも

日本年金機構の感染で注目を集めた「Emdivi」だが、その後の感染活動でエクスプロイトキット「Angler」が用いられた可能性があることがわかった。またバンキングトロジャン「ZeusVM」の感染拡大にも関与した疑いがある。

脅威の検知動向。「Angler EK」と「Emdivi」「ZeusVM」の検知に同様の傾向が見られたという（グラフ：ラック）

ラックが、同社セキュリティオペレーションセンター「JSOC」において、「IDS」や「IPS」「ファイアウォール」などで検知した2015年第3四半期のインシデント発生傾向について取りまとめ、判明したもの。

「Emdivi」に関しては、メールを利用した当初の感染活動にくわえ、水飲み場攻撃が展開されたことから、同社では7月に感染の増加を観測した。ただし、8月以降は感染を確認していない。

感染が収束した理由について、「Emdivi」に対する対策が各社で進んだ一方、亜種に変化した可能性もあると同社は分析。引き続き警戒が必要だという。

一方8月以降は、「Zeus」の亜種でステガノグラフィを使用する「ZeusVM」の感染が増加した。コマンド＆コントロールセンターとの通信に画像を使用するマルウェアで、一見画像のやりとりに見えるが、画像をバイナリで確認するとマルウェアの設定情報が含まれている。

同社は、同四半期における「Emdivi」や「ZeusVM」の検知数と、「Angler EK」の検知数について、増加傾向が見られた時期が重なると指摘。感染には「Angler EK」が用いられた可能性が高いと結論付けている。

（Security NEXT - 2016/01/14 ）ツイート