Kaspersky Labは5月4日(米国時間)、「A new secret stash for “fileless” malware|Securelist」において、シェルコードをWindowsのイベントログに格納する手法がサイバー攻撃で用いられていることを初めて観測したと伝えた。サイバー犯罪者はこの手法を使ってトロイの木馬をファイルシステム内に目立たないように隠すことができると分析されている。

  • A new secret stash for “fileless” malware|Securelist

    A new secret stash for “fileless” malware|Securelist

Kaspersky Labは今回分析したキャンペーンに関して、イベントログにシェルコードを記録するというテクニックを最も革新的な部分と分析している。また、この部分のみならず、今回分析したキャンペーンでは少なくとも2つの商用プロダクトが悪用され、さらに最終段階において数種類の遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)とアンチディテクションラッパーが使われており、このキャンペーンの背後にいる攻撃者がかなり有能であると指摘している。コードはユニークであり、既存のマルウェアとの類似性はないとされている。Kasperskey Labは今後もこの活動を監視していくと説明している。

セキュリティソフトウェアによる検出を避けるために可能な限りファイルを使わないようにする「ファイルレス」のテクニックはさまざまなものが存在している。今回はWindowsのイベントログをシェルコードの格納先として利用したこと、それ以外にもさまざまな回避テクニックを多段的に巧妙に使っている点が注目される。サイバー犯罪グループは高度に組織化が進んでいると考えられており、使われるスキルやマルウェアも高度化が進んでいる。