セキュリティ専門家による脅威情報・ニュースをお届けしているトレンドマイクロ セキュリティブログの記事から、2017年8月に公開された記事の中から3本、ご紹介します。


より高度な「ファイルレス活動」を実現した一連のマルウェアを確認

サイバー犯罪者は、自身の攻撃を悟られないためになるべく痕跡を残さない攻撃手法を利用します。今回、トレンドマイクロは、マルウェア「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)を起点とする不正活動において、より高度な「ファイルレス活動」が行われていることを確認しました。このスクリプト系マルウェアは、Windowsのレジストリを利用した自動実行によって、遠隔操作サーバ(C&Cサーバ)上から活動開始します。その後もマルウェアの不正コードをファイルではなくレジストリに保存して実行するなど、侵入段階から最終的に実行されるバックドア型マルウェアまで、物理的にマルウェア自体のファイルを作成せずに不正活動を遂行します。

近年では、2016年末から標的型サイバー攻撃での使用が確認されている RAT「ChChes」をはじめ、2017年4月に確認された暗号化型ランサムウェア「SOREBRECT」といった、ファイルを利用しないマルウェアによる攻撃が見られています。サイバー犯罪者にとって、マルウェアのファイルレス活動はセキュリティ対策の回避を可能にする非常に有効な攻撃方法です。多くのセキュリティ対策製品はマルウェア検出の際にファイル単位の検索を行うため、ファイルが存在しないと検出できなくなります。また、サンドボックスを利用したセキュリティリサーチャー・解析者にとっても、実行可能なファイルを作成しない感染手順は、解析困難なものとなります。ただし、これまで確認されていたファイルレス活動では、マルウェア本体を起動するためのコードなど、なんらかのファイルがどこかの段階で作成されており、実行可能な状態のマルウェア本体がファイルとして保存されないという状況を意味していました。しかし、今回確認されたJS_POWMETでは、確認されている範囲の活動においてはまったくファイルが作成されません。より完全な「ファイルレス」に近くなったものと言えます。
…続きを読む

HTMLファイルを利用したビジネスメール詐欺(BEC)

従来の「Business Email Compromise(ビジネスメール詐欺、BEC)」では、標的PCからアカウント情報を窃取するために、実行ファイル形式のキーロガーが使われていました。しかし、メールに添付された実行ファイルはマルウェアである可能性が高く、通常、ユーザは警戒して添付ファイルをクリックしません。その結果、BECに利用される添付ファイルの形式として、実行ファイルよりも、HTML形式のWebページが多く確認されるようになっています。
…続きを読む

更新:「JS_POWMET」の「ファイルレス活動」、感染経路がUSBと特定

トレンドマイクロは、2017年8月中旬、「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)を起点とする「ファイルレス活動」を利用した一連のマルウェア感染について報告し、この脅威について継続して監視してきました。そして今回、USBがこの一連のマルウェア感染の感染経路であることを確認しました。
…続きを読む