トレンドマイクロ、標的型攻撃で利用される64ビット版「MIRAS」を確認

トレンドマイクロは9月17日、標的型攻撃で利用される64ビット版「MIRAS」を初めて確認したと、同社のセキュリティブログで明かした。

「MIRAS」はバックドア型の不正プログラム。感染したPCは、攻撃者にファイルやシステムを操作され、保存されたユーザーの個人情報が外部に流出する可能性がある。

今回、トレンドマイクロは、ヨーロッパを基盤とするIT企業への攻撃に利用された「BKDR64_MIRAS.B」がMARSの64ビット版であることを確認した。「リモート・デスクトップ・セッション・ホスト(RD セッションホスト)」に接続されたPCを標的にしていると推測している。

BKDR64_MIRAS.Bは、ファイルおよびディスク管理モジュールを介して、広範囲に渡ってファイルの情報を窃取する。コマンド「Enumerate all logical drives」および「Get logical drive’s drive type and disk space」を介して、感染したPCに大幅な変更があったことを知ることができる。

また、MIRASのプロセスマネジャのモジュールによって、攻撃者がPCのプロセスが作成された日時と経過時間を知ることができる。これにより、攻撃者がプレセスの経過時間を見て重要度を判断できる。

トレンドマイクロは、BKDR64_MIRAS.BのC&Cサーバを「96[.]39[.]210[.]49」であると特定している。このC&Cサーバは、2013年11月にはすでに利用されており、米国に置かれている。

MIRASの攻撃について、「痕跡をまったく、もしくはほとんど残さないように設計されている」としており、ユーザー側の早期発見は難しい。そこで、IT管理者が「侵入の痕跡(Indicators of Compromise、IOC)」や「異常」の可能性を示すものをどのタイミングで検知できるかが重要だとしている。

例えば、大きなサイズのの不審なファイルは、情報漏えいを示唆し、ネットワーク内で窃取した情報が含まれている可能性があるという。攻撃者は、情報送出の段階の前に標的としたシステム内に窃取したファイルを保存することが多々ある。

なお、「＜System＞/wbem/raswmi.dll」という名前のファイルは、MIRASが侵入していることを示唆するものだという。