FireEyeは2018年1月17日(現地時間)、「Microsoft Office Vulnerabilities Used to Distribute Zyklon Malware inRecent Campaign ≪ Microsoft Office Vulnerabilities Used to Distribute Zyklon Malware inRecent Campaign|FireEye Inc」において、2016年から活動が観測されているマルウェア「Zyklon」が最近のキャンペーンで拡散していることを発見したと伝えた。

「Zyklon」はかなり洗練されたマルウェア。バックドアとして機能するマルウェアが持つほとんどの機能を持っており、キーロギング、パスワード窃取、プラグインのダウンロードと機能の追加、DDoS攻撃への関与、自己アップデートおよび自己削除、コマンド&制御サーバとの通信、暗号通貨マイニング、モニタリング機能など、さまざまな種類のマルウェアとして機能する。

  • Zyklon拡散経路の概要図 - 資料: FireEye提供

    Zyklon拡散経路の概要図 - 資料: FireEye

FireEyeの研究者らは「Zyklon」が細工されたMicrosoft Officeドキュメントを添付した電子メールの形式で拡散していることを発見。このドキュメントはMicrosoft Officeの3つの脆弱性を悪用して最終的にPowerShellのスクリプトを実行する仕組みを持っており、そこからマルウェアをダウンロードして感染を広める手口を取っている。

サイバー攻撃は常にさまざまな脆弱性やテクニック、時事ネタを使ってマルウェアの感染を促してくる。ソフトウェアは常にセキュリティサポートの提供されているものを使うとともに、常に最新の状態にアップデートし続けることが望まれる。