7種のNSAサイバー兵器を悪用した新種のマルウェア「EternalRocks」、目的は?「WannaCry」だけではなかった(1/2 ページ)

世界規模に被害が拡大したランサムウェア「WannaCry」に続き、「EternalRocks」というマルウェアが新たに見つかった。これは米国家安全保障局(NSA)のサイバー兵器7種を利用しているが、その目的はまだ謎だ。

2017年06月07日 12時00分 公開
[Michael HellerTechTarget]
イメージ

 またしてもNSAのサイバー兵器を悪用した新種のマルウェアEternalRocksが見つかった。だが、できるだけ多くのシステムに感染を拡大する以外に何を目的としているのか、いまだ不明だ。

 ランサムウェアWannaCryは1週間もしないうちに30万台以上のシステムに広まり、アクセスの取得に「EternalBlue」、感染拡大に「DoublePulsar」という2種類のNSAサイバー兵器を悪用していた。今回新たに見つかったEternalRocksというマルウェアは、7種ものNSAサイバー兵器を利用している。

 EternalRocksを発見したのはクロアチア政府のコンピュータ緊急事態対応チーム(CERT)に所属するセキュリティ専門家ミロスラブ・シュタンパル氏で、Server Message Block(SMB)のハニーポットで感染を確認した。同氏が解析した結果、このマルウェアはNSAが開発した7つのSMBエクスプロイトを利用していることが分かった。アクセス取得用にEternalBlue、「EternalChampion」「EternalRomance」「EternalSynergy」、SMB偵察操作用に「SMBTouch」と「ArchiTouch」、感染拡大用にDoublePulsarの計7つだ。

 シュタンパル氏によると、EternalRocksの実行は複数段階に分かれている。まずEternalBlueでシステムに侵入し、次にTor経由でコマンド&コントロールサーバ(C&C)にアクセスし、それからコンポーネントをインストールする。

 GitHub GitHubにおけるシュタンパル氏の解説(出典:GitHub)《クリックで拡大》

 シュタンパル氏はGitHubへの投稿で次のように述べている。「最初の実行の後、shadowbrokers.zipというエクスプロイトパックをドロップし、これをアンパックしてpayloads/、configs/、bins/というディレクトリを展開する。次に、インターネット上で開いているポート445番(SMB)のランダムスキャンを開始し、(bins/ディレクトリに)含まれているエクスプロイトを実行して、(payloads/ディレクトリ内の)ペイロードによって第1ステージマルウェアをプッシュする。また、第1ステージからTorプロセスを実行し、C&Cからさらに命令を受け取る」

 このエクスプロイトパックには感染を広める目的で他のNSAサイバー兵器とDoublePulsarも含まれる、とシュタンパル氏は述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

       1|2 次のページへ

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news079.jpg

CMOが生き残るための鍵は「生産性」――2025年のマーケティング予測10選【中編】
不確実性が高まる中でもマーケターは生産性を高め、成果を出す必要がある。「Marketing D...

news023.jpg

世界のモバイルアプリ市場はこう変わる 2025年における5つの予測
生成AIをはじめとする技術革新やプライバシー保護の潮流はモバイルアプリ市場に大きな変...

news078.png

営業との連携、マーケティング職の64.6%が「課題あり」と回答 何が不満なのか?
ワンマーケティングがB2B企業の営業およびマーケティング職のビジネスパーソン500人を対...