is702
ニュース

第三者環境モニタリング?偽のメールで遠隔操作ツールに誘導

2019/09/10

トレンドマイクロは9月9日、公式ブログで「遠隔操作ツール『Gh0stCringe』が人気コミュニケーションアプリを偽装したメールで拡散」と題する記事を公開しました。人気コミュニケーションアプリの運営会社からのメールを偽装して不正サイトに誘導し、遠隔操作ツール(RAT)に感染させようとする攻撃が確認されたとのことです。

トレンドマイクロの調査によると、不正サイトへの誘導メールが、8月30日~9月3日の間に2,000通以上拡散されているとのこと。内容は、「“第三者による環境モニタリング”を行うためのソフトウェアをパソコンにダウンロードする」といったもので、本文内のリンクから不正サイトに誘導しようとします。
このリンクは、一見正規のアドレスに見えるように偽装されていました。また、メールの差出人アドレス(From)を「do_not_reply@<コミュニケーションソフトの正規サイトドメイン>」と記述する等、利用者を錯覚させるさまざまな工夫が施されています。

不正サイトに書かれたインストール作業に従うと、「vc_redist.x86.exe」「Server.exe」という2つのファイルがダウンロードされます。しかし、このうち「Server.exe」のみが不正なファイルで、「Hidden」と呼ばれるオープンソース(公開されているソフト)のルートキット(不正操作を補助するソフト一式)を保存し、遠隔操作ツール(RAT)である「Gh0stCringe」の亜種(Backdoor.Win32.FARFLI.MRDとして検出)を実行します。さらにルートキットの機能によって、RATが行う不正な活動を隠蔽し、侵入の発見を困難にしていました。
今回の検体では、システム情報の取得のほか、デスクトップの動画を記録する機能も確認されたとのことです。一方、今回確認されたRATは実行できる操作が少ないため、侵入の第一段階として、あるいは情報窃取といった目的であったと推測されています。

トレンドマイクロでは、8月頃から増加している情報窃取型マルウェアの感染につながるマルウェアスパムと同様の攻撃ではないかと指摘しています。一方で、ルートキットによる活動隠蔽といった巧妙さから、より高度な目的を持った攻撃である可能性も残されています。ユーザは、最新の情報を把握するように努めるとともに、メール内のURLをクリックする際は慎重に確認してください。
そして、このような不正なメールや不正な誘導先へのアクセスを回避するためには、メールのフィルタリング機能や、セキュリティソフトを活用し、脅威によるリスクを下げるようにしましょう。



Gh0stCringeを感染させる不正サイトの例※本記事内の画像について、直接の危険や権利侵害に繋がりかねないと判断される部分には修正を施しています

Gh0stCringeを感染させる不正サイトの例

※本記事内の画像について、直接の危険や権利侵害に繋がりかねないと判断される部分には修正を施しています



「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。