Windowsスクリプトから配布されるワーム「Raspberry Robin」、HPが注意喚起
マイナビニュース / 2024年4月15日 9時57分
HPは4月10日(米国時間)、「Raspberry Robin Now Spreading Through Windows Script Files|HP Wolf Security」において、Windowsを標的とするワーム「Raspberry Robin」がWindowsスクリプトファイル(WSF)を通じて配布されていることを発見したとして、注意を呼び掛けた。このワームに感染すると、ランサムウェアなど別なマルウェアに感染する可能性がある。
○Raspberry Robinの感染経路
Raspberry Robinは2021年後半に発見されたWindows向けのワームとされる。発見当初はUSBメモリなどのリムーバブルメディアを介して感染し、侵害したQNAPのNASからペイロードをダウンロード、実行する手法がとられていた。その後、ソーシャルエンジニアリング攻撃やマルバタイジング攻撃を介してアーカイブファイルやインストーラを配布する手法がとられていたが、今回はじめてWindowsスクリプトファイルを配布する手法が確認された。
HPの研究者によると、Windowsスクリプトファイルは悪意のあるドメインやサブドメイン経由で配布されているという。攻撃者がこれらURLに被害者をどのようにして誘導しているのかはわかっていない。
○悪意のあるWindowsスクリプトファイル
発見された悪意のあるWindowsスクリプトファイルは高度に難読化されており、さまざまな分析妨害技術や仮想マシン検出技術が使用されているという。これらすべての検査にパスした場合にのみ最終ペイロードがダウンロードされ、実行される。
スクリプト本体のコードはファイルの中央に記述されており、その前後には意味のないデータが配置されている。これらデータはWindows Script Hostコンポーネントからは無視されるため、単純に分析を妨害するために配置されたものとみられている。
スクリプト本体は高度に難読化されており、その動作を理解するのは容易ではないとされる。しかしながら、HPの研究者はコードを分析し、その動作を詳細に解説している。
分析によると、スクリプトは最初にいくつかの確認を実行し、条件に一致する場合は分析されている、または最終ペイロードの実行に障害があると評価してスクリプトを終了するという。また、動的分析を妨害するためにスクリプトを再実行してからスクリプトファイルを削除し、処理を継続する機能を持つとされる。これらすべての検査をパスするとMicrosoft Defenderに例外を追加し、マルウェアの検出を阻止してからRaspberry Robinをダウンロードして実行する。
○影響と対策
-
- 1
- 2
この記事に関連するニュース
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
圧縮ツールxzに仕掛けられたバックドア、その巧妙な手口が明らかに
マイナビニュース / 2024年4月15日 11時23分
-
GitHubから悪意あるVisual Studioプロジェクト配布、注意を
マイナビニュース / 2024年4月12日 8時46分
-
Adobe Readerのインストール求めるPDFファイルに注意、マルウェア感染の恐れ
マイナビニュース / 2024年4月9日 8時51分
ランキング
-
1パッと見で分からない細かいこだわりも バッファロー開発陣に聞くWi-Fi 7ルーター「WXR18000BE10P」の秘密【後編】
ITmedia PC USER / 2024年5月1日 15時5分
-
2パイオニアの車載スマートデバイス「NP1」を試して感じたイイところ、ムムムなところ 音声操作前提のドラレコ&カーナビ
ITmedia Mobile / 2024年5月2日 6時5分
-
3ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
4IKEAの新作カーテンが「すっごいかわいい」「色味が最高!」→でもどうやって付けているの? 100万再生突破の垢抜けインテリア術が参考になる
ねとらぼ / 2024年5月1日 21時0分
-
5「友達の誰もクリアできてない」タイトルだけは有名… 鬼ムズなファミコンソフト3選
マグミクス / 2024年5月1日 21時25分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください