編集部からのお知らせ
新著記事まとめ:アジャイル開発が支えるDX
新しい働き方の関連記事はこちら

露ハッカー集団、マルウェアでウイルス対策のログも収集

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-05-27 12:40

 ESETのセキュリティ研究者の調査で、ロシアのハッカー集団であるTurlaが新しい攻撃手法を採用していることが分かった。Turlaは、ロシア政府の支援を受けて活動しているとされる先進的な攻撃グループの1つだ。

 新たな種類の攻撃手法が見られたのは2020年1月だった。ESETの研究者らによれば、攻撃はコーカサス地方の國のある議會と、西歐の2つの國の外務省を標的としたものだった。國家安全保障上の理由から、具體的な名前は公表されていない。

 攻撃に使用されたマルウェア「ComRAT」(「Agent.BTZ」とも呼ばれる)は、古くから使われているTurlaの攻撃ツールで、2008年には、米國防総省のネットワークからデータを吸い上げるために使われている

 このツールはこれまでに何度かアップデートされており、2014年2017年に新しいバージョンが発見されている。

ウイルス対策のログを分析し始めたTurla

 「ComRAT v4」と呼ばれる最新バージョンは2017年に登場したものだが、米國時間5月26日に公表されたレポートによれば、ESETは2つの新機能を持つComRAT v4の派生バージョンを発見したという。

 1つ目の新機能は、感染したホストからウイルス対策ツールのログを収集し、その情報を指令サーバーの1つにアップロードするというものだ。

 ハッカー集団の意図を正確に把握することは困難だが、このマルウェアを分析したESETの研究者Matthieu Faou氏は米ZDNetに対し、Turlaを運用しているグループは、ウイルス対策ツールのログを収集することで、「自分たちのマルウェアサンプルが検出されているか、検出されている場合、どれが検出されているかを把握しようとしている」可能性があると述べている。

指令サーバーとして「Gmail」を利用

 ComRATの最新バージョンには、もう1つ大きな変更點がある。Faou氏によれば、このマルウェアには2つの指令メカニズムが組み込まれているという。

 1つ目は、HTTP経由でリモートサーバーに接続し、感染したホストで実行する命令を取得するという、従來と同じ仕組みだ。

 新しい2つめの仕組みには「Gmail」のウェブインターフェースが使われている。ComRAT v4の最新バージョンは、被害者のブラウザの1つを乗っ取り、すでに作成されているクッキーファイルを読み込んで、Gmailのウェブインターフェースに接続するという。

 マルウェアはそこで受信トレイの最近のメールを読み込み、そこからファイルの添付ファイルをダウンロードして、それに含まれている命令を読み取る。

 Turlaの運用擔當者が感染したホストで動作しているComRATのインスタンスに新しいコマンドを送りたいときは、そのGmailアドレスに電子メールを送る。この方法で送られた命令を実行して収集されたデータは、Gmailの受信トレイに送られ、Turlaの運用擔當者にリダイレクトされる仕組みになっている。

Gmail経由での命令のやりとり
提供:ESET

 新しいバージョンのComRATに関する詳細については、ESETのレポートを參照してほしい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ?コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用狀況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得?利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]
成年片黄网站色大全免费