カスペルスキー、スパイ活動を可能にするワーム型のマイニングマルウェア「StripedFly」を発見
- 2023/11/01 10:30
- SecurityInsight
カスペルスキーは10月31日、同社のグローバル調査分析チーム(GReAT)が、これまで知られていなかった非常に高度なマルウェアを発見したことを発表した。その概要は以下のとおり。
「StripedFly」と名付けられたこのマルウェアは、少なくとも2017年から世界中で100万人以上に影響を与えている。当初は暗号資産(仮想通貨)のマイニングマルウェアとして検知されていたが、今回の調査で、複数の機能を持つワーム型の複雑なマルウェアであることが判明した。
注目すべきことは、StripedFlyのマイニングモジュールによって採掘される暗号資産Moneroの価値は2017年に約10米ドルだったが、2018年1月9日には542.33米ドルに達し、2023年時点では約150米ドルを維持している。GReATのリサーチャーは、StripedFlyがマイニングマルウェアを装うことで、長期間にわたりそのほかの機能の発見を免れてきたと見ている。
初期の感染経路は不明だったが、詳細な調査の結果、Microsoft Windows「SMBv1」の脆弱性を悪用したエクスプロイト「EternalBlue」をカスタマイズして標的のシステムに侵入していたことが判明。2017年にMicrosoftがパッチ(MS17-010)をリリースしたにもかかわらず、多くのユーザーがシステムをアップデートしていないため、この脆弱性がもたらす脅威は依然として大きな存在として残っている。
リサーチャーが技術的な分析を進める中で、既知のマルウェアEquationとの類似点を確認した。例えばEquationに関する署名など技術的な類似や、マルウェアStraitBizzare(SBZ)に似たコーディングスタイルと手法が含まれる。StripedFlyがホスティングされているリポジトリのダウンロードカウンターによると、世界中で100万人以上が初期感染の影響を受けたと見られる。