is702
ニュース

PC内にファイルを作らないより高度なサイバー攻撃「JS_POWMET」が登場

2017/08/15

トレンドマイクロは8月14日、公式ブログで「より高度な『ファイルレス活動』を実現した一連のマルウェアを確認」と題する記事を公開しました。攻撃先のPCにマルウェア(ウイルス)自体のファイルを作成せず、不正活動を行う攻撃が確認されました。

この不正活動は、マルウェア「JS_POWMET(パウメット)」を起点とする攻撃において確認されました。痕跡を残さないことで、サイバー攻撃を悟られないようにするのが狙いと思われます。JS_POWMETは、Windowsのレジストリを利用した自動実行によって、遠隔操作サーバ(C&Cサーバ)上から活動を開始します。その後、マルウェアの不正コードを、ファイルではなくレジストリに保存して実行します。さらにバックドア型マルウェアを実行しますが、これもファイルとしては作成されません。なお、これらの攻撃は、動作の一部でWindowsのPowerShellを利用しているため、無効化することで影響を軽減可能とのことです。

こうした「ファイルレス活動」としては、2016年末の標的型サイバー攻撃で確認された「ChChes」、2017年4月に確認されたランサムウェア「SOREBRECT」等が、過去にも存在しました。ただしこれまでは、“マルウェア本体を起動するためのコード”等、なんらかのファイルがどこかの段階で作成されていました。しかし、今回確認されたJS_POWMETは、現時点ではまったくファイルが確認されていません。

正確な侵入方法についても、まだ判明していませんが、不正サイトにアクセスした際にダウンロードされたファイル、または他のマルウェアによって作成されたファイルが発端となると考えられています。こうした珍しい手法に対抗するためにも、ユーザや管理者は、さらに注意を払う必要があるといえます。活動の際に行われる、C&Cサーバとの通信をブロックする対策も有効です。



「JS_POWMET」を起点とする攻撃の流れ<br />

「JS_POWMET」を起点とする攻撃の流れ


  • 社団法人千葉県接骨師会
  • ホットニュース
  • 接骨院マップ
社団法人千葉県接骨師会
ホットニュース
接骨院マップ