IBMは5月29日(米国時間)、「New Banking Trojan MnuBot Discovered by IBM X-Force Research」において、ユニークな特徴を持ったバンキング型トロイの木馬「MnuBot」を発見したと伝えた。このトロイの木馬はコマンド&コントロールサーバにMicrosoft SQL Serverを使っており、通常のマルウェアと比べてかなりユニークな動きをするという。
通常、マルウェアはWebサーバまたはIRC(Internet Relay Chat)チャンネルを使ってコマンド&コントロールサーバとの通信を実施している。今回新しく発見された「MnuBot」はこの通信にMicrosoft SQL Serverを使っており、SQL命令の形で制御コマンドやデータのやり取りを行っている。
-
WiresharkによってMnuBotがC&Cサーバと通信している内容をモニタリングした結果 - 資料: IBM
IBMは、コマンド&コントロールサーバとの通信をMicrosoft SQL Serverとの通信に見せかけてセキュリティソフトウェアによる検出を回避する目的で、こうした実装になっているのではないかと指摘している。
