is702
ニュース

Javaの遠隔操作ツール「ADWIND」が拡散中、MacでもLinuxでも感染

2017/07/18

トレンドマイクロは7月14日、公式ブログで「各OSに対応するJavaのRAT『ADWIND』が再び確認。スパムメールで拡散」と題する記事を公開しました。

「ADWIND」(アドウィンド、別名:jRAT)は、Windows、Mac OS X、Linux、Androidなど複数のOSで、Javaがインストールされていれば感染可能な「Remote Access Tool(RAT)(遠隔操作ツール)」です。ADWINDは、2014年以前から活動しており、認証情報の窃取、キー入力情報の記録・収集、写真やスクリーンショットの撮影、動画の記録・収集、そして情報送出等、幅広い機能を備えています。犯罪者向けに販売されており、目的に合わせて機能をカスタマイズすることも可能なため、継続して注意すべき脅威の1つです。

トレンドマイクロは今回、ADWINDがスパムメールの送信により拡散されていることを、あらためて確認しました。2017年1月に5,286だった検出数が、6月には117,649に急増したことを確認しています。これらの攻撃は、スイス、ウクライナ、オーストリア、米国等、各国の航空宇宙産業関連企業を主な攻撃対象にしていました。

スパムメールの件名は、「Changes in 2017 - MYBA Charter Agreement(訳:2017年の変更点 - MYBAチャーター協定)」というもので、「Mediterranean Yacht Broker Association(MYBA)」のチャーター委員会委員長からのEメールを偽装していました。

スパムメールには不正リンクが含まれており、これをクリックすると、ユーザの機器に「Program Information file(PIF)」が作成されます。このファイルは、システム証明書(System Certificate)を改変するとともにダウンローダとして機能し、7-Zipインストーラ、Javaファイル、「ダイナミックリンクライブラリ (Dynamic Link Library、DLL)」をダウンロードして実行することで、各端末に感染します。

ADWINDは、Javaでプログラムされているクロスプラットフォームのマルウェアです。被害を防ぐには、入り口となるEメール受信者をだます手口(ソーシャルエンジニアリング)への理解、啓発による対策をはじめ、Eメールのセキュリティ確保、システム内での多層防御、定期的なJavaの更新プログラム適用等、多段にわたる対策の検討・実装が必要です。



「ADWIND」の検出数(2017年1月~6月)<br />

「ADWIND」の検出数(2017年1月~6月)


  • FCTV
  • mitene
FCTV
mitene