Japan Computer Emergency Response Team Coordination Center

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は1月22日、「マルウエアPlugXの新機能 (2015-01-22)」を公開し、RAT(Remote Access Tool)型のマルウェアである「PlugX」の新機能について解説している。PlugXは標的型攻撃でよく用いられるマルウェアの1つで、機能が追加された新しいバージョンが出回ることで知られている。今回は、2014年10月に確認されたPlugXの新機能を取り上げている。

2014年10月に確認されたPlugX(0x36a4タイプ)における主な変更点は次のとおり。

  • P2P通信に関する設定の追加
  • 設定可能なC&Cサーバの数を16へ増加
  • 実行禁止MACアドレスの追加
  • UAC回避を実施する際のプロセスを設定可能に変更

JPCERTコーディネーションセンターは、PlugXを使った攻撃においては古いタイプのPlugXと新しいタイプのPlugXの双方が観測されており、現在攻撃に使用されているすべてのPlugXが10月に発見された0x36a4タイプであるとは限らないと指摘している。また、過去に感染してすでに内部ネットワークに侵入されてしまっている場合は、古いタイプである可能性が高いとも言えるという。