Kaspersky、三つのマルウェアの新たな感染手法を発見 ~新たなダウンローダー「DarkGate」、復活した「Emotet」、根強い情報窃取型の「LokiBot」~

株式会社カスペルスキー

[本リリースは、2023年8月3日にKasperskyが発表したプレスリリースに基づき作成したものです]


---【概要】---

Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、三つのマルウェア「DarkGate(ダークゲート)」「Emotet(エモテット)」「LokiBot(ロキボット)」それぞれについて、新たな感染手法を突き止め、公開しました。独自の暗号化方法を用いるDarkGate、しぶとく復活を果たしたEmotet、そして根強く残るLokiBotの新たな感染手法は、サイバーセキュリティへの脅威が常に進化している状況を表しています。詳しくはSecurelistブログ(英語)でご覧いただけます。「What's happening in the world of crimeware: Emotet, DarkGate and LokiBot 」

https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/

--------------


サイバー犯罪者はマルウェアを進化させ続けています。新しいマルウェアファミリーが誕生する一方で、消滅するファミリーもあります。短命なマルウェアもあれば、長期間にわたって使用され続けるマルウェアもあります。この進化を追跡するために、GReATのリサーチャーらは、マルウェアサンプルと、ボットネットやアンダーグラウンドのフォーラムを監視する活動を継続しています。その過程で、このたび新たに三つのマルウェアの感染手法を発見しました。

DarkGate:2023年6月、GReATのリサーチャーは、典型的なダウンローダーよりも高機能な新規のダウンローダーDarkGateを発見しました。特筆すべき機能として、隠ぺいされたVNC(Virtual Network Computing)、Windows Defenderの除外、ブラウザー履歴の窃取、リバースプロキシ、ファイル管理、ボイスチャットのDiscordトークンの窃取などが挙げられます。感染は4段階を経てDarkGate自体をロードするように複雑に設計されています。このダウンローダーが際立っているのは、ユニークなキーと特殊文字セットを用いたBase64エンコードのカスタムバージョンによって文字列を暗号化するという独自の方法を採用している点です。

Emotet:2021年にいったん無効化されたものの、再び姿を現した悪名高いマルウェアEmotetの最新の配布手法として、おとりファイルにMicrosoft OneNote文書の使用を観測しています。メールに添付された悪意のあるOneNoteファイルをユーザーが開き、画面の表示に従い操作すると、埋め込まれ難読化されているVBScriptが実行されます。このスクリプトは、リスト化された複数のWebサイトから悪性コード(DLLペイロード)のダウンロードを標的システムに対して試行し、成功するとペイロードをシステムのテンポラリディレクトリに保存し、実行します。このDLLには、暗号化されたインポート関数とともに、隠し命令(シェルコード)が含まれます。リソースセクションから特定のファイルを復号することで、最終的にEmotetのペイロードを実行します。ペイロード自体は、これまでのものと変わりありません。

LokiBot:GReATのリサーチャーは、貨物船の運航会社を標的とした新たなフィッシング攻撃を発見しました。詳しく調査したところ、配布されていたマルウェアはLokiBotでした。LokiBotは2016年に初めて特定された情報窃取型マルウェアで、ブラウザーやFTPクライアントを含むさまざまなアプリケーションから認証情報を窃取するように設計されています。今回のフィッシング攻撃で使用されたメールには、支払う必要がある港湾に関する経費が記載されており、Excelファイルが添付されていました。Excelを開くと受信者にマクロの有効化を促しますが、実際にはマクロは含まれておらず、Microsoft Officeに存在する既知の脆弱(ぜいじゃく)性(CVE-2017-0199)を悪用してリッチテキスト(RTF)文書をダウンロードするよう仕向けます。

https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2017-0199

このRTF文書は、別の脆弱性(CVE-2017-11882)を利用してLokiBotを配布し実行します。LokiBotは感染先のさまざまなソースから認証情報を収集し、指令サーバー(C2)に送信していました。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-11882


KasperskyのGReATでシニアセキュリティリサーチャーを務めるジョーント・ファン・デア・ウィール(Jornt van der Wiel)は、次のように述べています。「Emotetの復活とLokiBotの根強さ、そしてDarkGateの出現は、私たちが直面するサイバー脅威が常に進化を遂げていることを思い知らせるものです。攻撃者がマルウェアの新しい感染手法を採用していく中で、個人も企業も注意を怠らず、堅固なサイバーセキュリティソリューションに投資することが極めて重要となります」

■ これら新たな感染手口の詳細とMD5は、Securelistブログ(英語)「What's happening in the world of crimeware: Emotet, DarkGate and LokiBot」でご覧いただけます。

https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/

※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。


このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


ダウンロード
プレスリリース素材

このプレスリリース内で使われている画像ファイルがダウンロードできます

会社概要

株式会社カスペルスキー

11フォロワー

RSS
URL
https://www.kaspersky.co.jp/
業種
情報通信
本社所在地
東京都千代田区外神田3-12-8 住友不動産秋葉原ビル 7F
電話番号
03-3526-8520
代表者名
小林岳夫
上場
未上場
資本金
-
設立
2004年02月