Kaspersky Labは10月26日(米国時間)、「StripedFly worming miner hides sophisticated code and espionage-ready capabilities|Kaspersky」において、少なくとも2017年以降に世界中で100万を超えるシステムが被害にあったと推測される新しいマルウェア「StripedFly」について報じた。
このマルウェアは、2022年にKasperskyのグローバル調査分析チームがwininit.exeプロセス内で2つの予期しない検出に遭遇したことで発見したとのこと。分析の結果、このマルウェアには複数のモジュールが含まれており、持続的標的型攻撃(APT: Advanced Persistent Threat)、暗号資産マイニング、ランサムウェアとしての役割を果たせるという。また、2時間ごとにシステムの認証情報を窃取する機能に加えて、名前、住所、電話番号、会社、役職などの個人情報、WebサイトやWi-Fiの認証情報、スクリーンショット、マイクを録音して窃取する機能もあるとされる。
Kaspersky Labは、このマルウェアのような未知または既知の攻撃者による標的型攻撃を回避するために、次のような対策を推奨している。
- オペレーティングシステム、アプリケーション、アンチウイルスソフトウェアを定期的に更新し、既知の脆弱性にパッチを当てる
- 機密情報を要求するメール、メッセージ、電話に注意する。個人情報を共有したり不審なリンクをクリックする前に、送信者の身元を調査する
- 自社のセキュリティオペレーションセンター(SOC: Security Operation Center)チームが最新の脅威インテリジェンスにアクセスできるようにする
- 専門家によるオンライントレーニングによりサイバーセキュリティチームを強化する
- 高度なエンドポイント検出応答(EDR: Endpoint Detection and Response)ソリューションを導入する
Kaspersky Labはこのマルウェアについて、高度なマルウェアにもかかわらず、目的がはっきりしないマルウェアと評価している。Kaspersky Labはこのマルウェアに関する詳しい分析結果とセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を「StripedFly: Perennially flying under the radar | Securelist」にて解説、公開している。