Japan Computer Emergency Response Team Coordination Center |
JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は1月22日、「マルウエアPlugXの新機能 (2015-01-22)」を公開し、RAT(Remote Access Tool)型のマルウェアである「PlugX」の新機能について解説している。PlugXは標的型攻撃でよく用いられるマルウェアの1つで、機能が追加された新しいバージョンが出回ることで知られている。今回は、2014年10月に確認されたPlugXの新機能を取り上げている。
2014年10月に確認されたPlugX(0x36a4タイプ)における主な変更点は次のとおり。
- P2P通信に関する設定の追加
- 設定可能なC&Cサーバの数を16へ増加
- 実行禁止MACアドレスの追加
- UAC回避を実施する際のプロセスを設定可能に変更
JPCERTコーディネーションセンターは、PlugXを使った攻撃においては古いタイプのPlugXと新しいタイプのPlugXの双方が観測されており、現在攻撃に使用されているすべてのPlugXが10月に発見された0x36a4タイプであるとは限らないと指摘している。また、過去に感染してすでに内部ネットワークに侵入されてしまっている場合は、古いタイプである可能性が高いとも言えるという。