EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Kaspersky、新しいバージョンの「Milum」を発見

  2021/07/14 10:49

 7月7日、Kasperskyのリサーチャーは2019年8月より、中東で活動しているAPT(高度サイバー攻撃)グループ「WildPressure」が使用するマルウェア「Milum」トロイの木馬を調査。新しいバージョンの「Milum」を複数発見したことを発表した。

 発見したうちの1つは、WindowsとmacOSの両方を感染させて動作が可能なことが判明。このトロイの木馬には異なるプログラミング言語の複数バージョンが存在する可能性を推察しており、この仮説が裏付けられたものだという。

 Pythonで書かれたマルウェアはパッケージ形式で配布されており、マルウェア本体、Pythonライブラリ、「Guard」という名前のスクリプトが含まれている。このスクリプトは、ほぼ追加の処理なくWindowsとmacOSの両方でマルウェアを起動できるようになっていたという。また、本マルウェアはデバイスへの感染後、オペレーティングシステム依存のコードを実行して永続化とデータ収集を実施。このPython版トロイの木馬は、セキュリティ製品がデバイス上で実行中であるかどうかをチェックする機能も備えていたとしている。

 同グローバル調査分析チームのシニアセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)氏は、「WildPressureの攻撃者は以前から同じ中東地域に関心を示しています。また、トロイの木馬について複数のバージョンを開発しており、それらのバージョン管理システムをもっています。同様のマルウェアを複数の言語で開発する理由として一番考えられるのは、検知される可能性を低くすることです。このような戦略はAPT攻撃グループでは珍しくはありませんが、Pythonスクリプト形式であっても同時に二つのシステム上で実行できるマルウェアはほとんど見たことがありません。また、この攻撃グループの地域的な関心を考慮すると、標的にmacOSが含まれていることは意外なことです」と述べている。

【関連記事】
Kaspersky、2021年の高度サイバー攻撃に関する予測を発表
新型コロナウイルスの流行でDDoS攻撃が3倍に Kasperskyが調査結果を公開
カスペルスキー、法人SOC向け新セキュリティソリューション「Kaspersky for SOC」を提供開始

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5