Windowsスクリプトから配布されるワーム「Raspberry Robin」、HPが注意喚起
マイナビニュース / 2024年4月15日 9時57分
HPは4月10日(米国時間)、「Raspberry Robin Now Spreading Through Windows Script Files|HP Wolf Security」において、Windowsを標的とするワーム「Raspberry Robin」がWindowsスクリプトファイル(WSF)を通じて配布されていることを発見したとして、注意を呼び掛けた。このワームに感染すると、ランサムウェアなど別なマルウェアに感染する可能性がある。
○Raspberry Robinの感染経路
Raspberry Robinは2021年後半に発見されたWindows向けのワームとされる。発見当初はUSBメモリなどのリムーバブルメディアを介して感染し、侵害したQNAPのNASからペイロードをダウンロード、実行する手法がとられていた。その後、ソーシャルエンジニアリング攻撃やマルバタイジング攻撃を介してアーカイブファイルやインストーラを配布する手法がとられていたが、今回はじめてWindowsスクリプトファイルを配布する手法が確認された。
HPの研究者によると、Windowsスクリプトファイルは悪意のあるドメインやサブドメイン経由で配布されているという。攻撃者がこれらURLに被害者をどのようにして誘導しているのかはわかっていない。
○悪意のあるWindowsスクリプトファイル
発見された悪意のあるWindowsスクリプトファイルは高度に難読化されており、さまざまな分析妨害技術や仮想マシン検出技術が使用されているという。これらすべての検査にパスした場合にのみ最終ペイロードがダウンロードされ、実行される。
スクリプト本体のコードはファイルの中央に記述されており、その前後には意味のないデータが配置されている。これらデータはWindows Script Hostコンポーネントからは無視されるため、単純に分析を妨害するために配置されたものとみられている。
スクリプト本体は高度に難読化されており、その動作を理解するのは容易ではないとされる。しかしながら、HPの研究者はコードを分析し、その動作を詳細に解説している。
分析によると、スクリプトは最初にいくつかの確認を実行し、条件に一致する場合は分析されている、または最終ペイロードの実行に障害があると評価してスクリプトを終了するという。また、動的分析を妨害するためにスクリプトを再実行してからスクリプトファイルを削除し、処理を継続する機能を持つとされる。これらすべての検査をパスするとMicrosoft Defenderに例外を追加し、マルウェアの検出を阻止してからRaspberry Robinをダウンロードして実行する。
○影響と対策
-
- 1
- 2
この記事に関連するニュース
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
GitHubから悪意あるVisual Studioプロジェクト配布、注意を
マイナビニュース / 2024年4月12日 8時46分
-
Adobe Readerのインストール求めるPDFファイルに注意、マルウェア感染の恐れ
マイナビニュース / 2024年4月9日 8時51分
ランキング
-
1「既存作品と類似している」と指摘 上演中の演劇が急遽中止で劇団側謝罪
ねとらぼ / 2024年5月8日 13時13分
-
2「iPad(第10世代)」が大幅値下げ、「iPad mini」は値上げ 価格改定で明暗分かれる
マイナビニュース / 2024年5月8日 13時31分
-
3シャープ、デザイン一新&ディスプレイ大型化の「AQUOS wish4」
マイナビニュース / 2024年5月8日 11時0分
-
4「新紙幣出てきたんだけど」 レジで“千円札”見た若者がポツリ→まさかの正体にショック広がる 「そうだよねえぇ」
ねとらぼ / 2024年5月7日 12時0分
-
5「天才なのか狂気なのか」 ガソリンタンクに液体窒素を入れてみたら…… 海外の“とんでもない実験”に心臓バクバク
ねとらぼ / 2024年5月6日 8時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください