FBIと国土安全保障省は、過去数年間にわたり様々な業種の組織に感染しているトロイの木馬型マルウェア「Volgmer」について共同で警告を発しました。FBIは、Volgmerに関連するIPアドレスが北朝鮮のものであると「高い確信」を抱いています。
ヴォルグマー・トロイアン
FBIによると、Volgmerマルウェアは2013年から確認されており、政府機関、金融機関、自動車業界、メディア業界を標的としている。このマルウェアの主な拡散手段は、特定の個人または組織を標的とするフィッシング攻撃の一種であるスピアフィッシングであるようだ。これにより、攻撃者はネットワーク内でより高い権限を取得し、マルウェアをネットワークにさらに感染させることが可能になる。
Volgmerバックドアは、システム情報の収集、サービスレジストリキーの更新、ファイルのダウンロードとアップロード、コマンドの実行、プロセスの終了、ディレクトリの一覧表示などの機能を備えています。US-CERTコード分析チームは、マルウェアサンプルの1つにおいて、Volgmerがボットネットコントローラー機能も備えていることも確認しました。
このマルウェアを調査している政府機関によると、Volgmerは32ビット実行ファイル形式とダイナミックリンクライブラリ(.dll)形式で確認されています。このマルウェアは、多くの場合RC4暗号化を含むカスタムプロトコルを使用して、コマンドアンドコントロール(C2)サーバーにデータを送信します。Volgmerは、自身のコピー先となるWindowsサービスをランダムに選択することで、永続性を維持します。
緩和策
FBIとDHSは、組織に対し、Volgmerに関連するIPアドレスと分析結果を確認することを推奨しています。これらのIPアドレスが自社のネットワークに接続していることがわかった場合は、それらをブロックする措置を講じ、その後、マルウェアを特定して削除する必要があります。
政府機関はまた、企業が北朝鮮関連のマルウェア活動を検出するために使用できるホストベースのルールとネットワークシグネチャのリストも作成しました。これらのルールとシグネチャは慎重に選定されていますが、誤検知が発生する可能性があると警告しています。
DHS はまた、組織が次のようなセキュリティのベスト プラクティスを実装することを推奨しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
アプリケーションホワイトリストは、これまでで最も優れたセキュリティ戦略ですが、大規模な組織では制限が多すぎることがよくあります。オペレーティングシステムとアプリケーションを最新の状態に保ちます。最新のマルウェア対策ソリューションを使用して、ダウンロードしたすべてのソフトウェアを実行前にスキャンします。ユーザーの権限は、手元の作業に必要な最小限に抑えます。ドキュメントからマクロを有効にしないでください。迷惑メールのリンクをクリックしません。
また、当局は、ネットワーク侵入が成功すると、機密情報や独自情報の損失、通常業務の中断、金銭的損失や評判の失墜につながる可能性があることを企業に改めて注意喚起しています。
