アメリカ合衆国のCISA(The Cybersecurity and Infrastructure Security Agency)とCNMF(The Department of Defense Cyber National Mission Force)は2020年29月2020日(米国時間)、「MAR-10310246-1.v1 – ZEBROCY Backdoor|CISA」において、「Zebrocy」と呼ばれるマルウェアの新しい亜種が観測されたことを報告した。Zebrocyは2015年頃から複数の研究機関によって報告されているマルウェアで、多数の亜種が存在し、政府機関や民間組織から機密文書を盗み出す攻撃などに用いられてきた。
-
MAR-10310246-1.v1 – ZEBROCY Backdoor | CISA
Zebrocyは、感染したコンピュータにバックドアを仕掛け、リモートから命令を実行することで対象のシステムを操作したりファイルを盗み出したりすることができる。今回公開されたレポートでは、次の2つのWindows実行ファイルがZebrocyバックドアの亜種として分析されている。
- 0be114fe30ef5042890c17033b63d7c9e0363972fcc15a61433c598dd33f49d1(smqft_exe)
- 2631f95e9a46c821a701269a76b15bb065764cc15a0b268a4d1eac045975c9b8(sespmw_exe)
この2つのファイルは、いずれもGo言語で記述された32ビットのWindows実行可能ファイルで、感染すると対象のシステムのユーザー名やユーザーのSID、感染時間、その他システムに関する情報を盗み出して外部に送信する。また、外部からのコマンド実行によって次のような操作を行うことができるという。
- ファイルの作成、変更、削除など操作
- スクリーンショットの取得
- ドライブの列挙
- cmd.exe経由でのコマンドの実行
- バックドアを永続化するためのスケジュールされたタスクの作成
それに加えてCISAでは、組織のシステムのセキュリティ体制を強化するため、ユーザーと管理者に対して次のベストプラクティスの適用を検討するよう推奨している。
- 最新のウイルス対策エンジンと定義ファイルを維持する。
- OSを最新の状態に保つ。
- ファイルとプリンタの共有サービスを無効にする。
- 望ましくないソフトウェアを使用するユーザーの権限を制限する。
- 強力なパスワードポリシーを適用する。
- 電子メールの添付ファイルを開くときは細心の注意を払う。
- ファイアウォールを有効にして未承諾の接続要求を拒否する。
- 不要なサービスを無効にする。
- 疑わしい電子メールの添付ファイルをスキャンして削除する。
- ユーザーのWebブラウジングを監視し、不適切なWebサイトへのアクセスを制限する。
- リムーバブルメディアを使用する場合には注意を払う。
- インターネットからダウンロードしたすべてのソフトウェアは実行前にスキャンする。
- サイバー脅威に関する最新の動向をチェックし、適切なアクセス制御リストを作成する。
サイバーセキュリティ最前線 第13回 Windows 10のサポート終了に備えよ
