is702

遠隔操作ツール『PlugX』の新たな亜種

2014/08/29

トレンドマイクロは8月29日、同社ブログで「標的型サイバー攻撃で使用される遠隔操作ツール『PlugX』のさらなる亜種を確認」と題する記事を公開しました。

それによると、6月中旬以降、遠隔操作ツール(RAT)の一種である「PlugX」を使用した標的型サイバー攻撃があり、その中で、「PlugX」の新しい亜種が確認されたとしています。

この新しい亜種では、従来型が持っていた「IXP:」などのHTTPヘッダがなくなり、「Cookie:」というフィールドが加わっていました。また、不正コード内の一部の文字列に、難読化処理が施されていました。これらの変化は、従来型の通信による検出を免れ、解析を困難にするためと思われます。

なおトレンドマイクロでは、この難読化解除処理をエミュレートすることで検体の解析に成功。その結果、この亜種には、OSコマンドの実行、ディスク容量の確認、画面キャプチャの窃取、感染PC の OS のシャットダウンや再起動、指定したSQLサーバへの接続、さらにブラウザソフト「Firefox」の設定情報の窃取といった機能が搭載されていることが明らかになっています。

  • あんしんプラスシリーズ
  • 標的型メール訓練サービス メル訓クラウド
  • IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud
あんしんプラスシリーズ
標的型メール訓練サービス メル訓クラウド
IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud