Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Emdivi」拡散に「Angler EK」を使用か - 「ZeusVM」にも

日本年金機構の感染で注目を集めた「Emdivi」だが、その後の感染活動でエクスプロイトキット「Angler」が用いられた可能性があることがわかった。またバンキングトロジャン「ZeusVM」の感染拡大にも関与した疑いがある。

20160114_la_001.jpg
脅威の検知動向。「Angler EK」と「Emdivi」「ZeusVM」の検知に同様の傾向が見られたという(グラフ:ラック)

ラックが、同社セキュリティオペレーションセンター「JSOC」において、「IDS」や「IPS」「ファイアウォール」などで検知した2015年第3四半期のインシデント発生傾向について取りまとめ、判明したもの。

「Emdivi」に関しては、メールを利用した当初の感染活動にくわえ、水飲み場攻撃が展開されたことから、同社では7月に感染の増加を観測した。ただし、8月以降は感染を確認していない。

感染が収束した理由について、「Emdivi」に対する対策が各社で進んだ一方、亜種に変化した可能性もあると同社は分析。引き続き警戒が必要だという。

一方8月以降は、「Zeus」の亜種でステガノグラフィを使用する「ZeusVM」の感染が増加した。コマンド&コントロールセンターとの通信に画像を使用するマルウェアで、一見画像のやりとりに見えるが、画像をバイナリで確認するとマルウェアの設定情報が含まれている。

同社は、同四半期における「Emdivi」や「ZeusVM」の検知数と、「Angler EK」の検知数について、増加傾向が見られた時期が重なると指摘。感染には「Angler EK」が用いられた可能性が高いと結論付けている。

(Security NEXT - 2016/01/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用
JPCERT/CC、都内でアナリスト向けのカンファレンスイベント
JPCERT/CC、「Emdivi」解析用スクリプトを無償公開 - 「APT 17」用ツールも
88の金融機関狙うマルウェア - 偽金融庁サイトで情報詐取
上位版「Emdivi」登場 - マルウェアによる不正通信は1カ月で3倍以上に
10日間で国内25サイトが改ざん - 閲覧で「Emdivi」などへ感染のおそれ
MS定例外パッチで修正された脆弱性、出所はHacking Team - EK悪用へ警戒を
【Hacking Team問題】水飲み場攻撃による「Emdivi」の感染活動で「CVE-2015-5119」を悪用
健保組合装う医療費通知の偽メールに注意 - 遠隔操作マルウェアを添付