SecurityInsight | セキュリティインサイト

トレンドマイクロ、通信事業や行政機関を狙うマルウェア「Raspberry Robin」を発見

トレンドマイクロは2月9日、セキュリティブログにおいて、Torネットワークにペイロードを配布するマルウェアの検体を発見したことを報告した。その概要は以下のとおり。

このマルウェアは、9月の終わりにかけて多数の企業や組織に影響を及ぼした。初期調査の結果、マルウェアのメイン処理部には実ペイロードと偽ペイロードの双方が含まれていることが判明した。

マルウェアの動作として、サンドボックスツールを検知した場合は、偽ペイロードを読み込む。これによって、実ペイロードをセキュリティツールや解析ツールから隠し、検知や分析を阻止しようとする。実ペイロードは、コード圧縮された階層内で難読化された状態のまま、Torネットワークに接続する。

Red Canaryによって「Raspberry Robin(トレンドマイクロではBackdoor.Win32.RASPBERRYROBIN.Aとして検知)」の名前で特定されたこの攻撃キャンペーンまたはマルウェアは、ワームに近い機能(.lnkファイルの使用による)を持ち、感染したUSB端末を起点としてシステム上に拡散したと考えられる。

今回の攻撃者がこのマルウェアを展開する主目的については、その感染処理の進め方や階層的なコード圧縮方式をもとに、現在も調査中。現時点で考えられる可能性として、情報窃取からサイバースパイ活動などが挙げられる。

技術的な特徴として、コードを多階層に渡って難読化するほか、サンドボックスや解析環境を検知した場合には偽ペイロードを読み込むなど、自身の動作を隠蔽する技巧が施されている。

Raspberry Robinの背後にいるグループは、このマルウェアがどこまで拡散されるかを事前調査しているようにも見える。被害者の大半は、ラテンアメリカ、オセアニア(オーストラリア)、ヨーロッパ圏の行政機関や通信事業に集中している。トレンドマイクロでは、このマルウェアによる活動を確認して以来、さまざまな検体の亜種を収集し、その動向を継続的に監視しているとしている。
 

関連リンク

セキュリティブログ