Kasperskyが警告！バックドア「PipeMagic」の再活性化で企業が狙われる

Kasperskyが警告する新たな脅威

2024年10月9日、Kasperskyが発表したリリースから、悪意ある攻撃活動の脅威が再び浮上しています。この攻撃は、トロイの木馬「PipeMagic」を用いており、その範囲は東南アジアの企業から中東にまで広がりました。この脅威は、特に企業に対して深刻なリスクをもたらすものです。

PipeMagicとは？

PipeMagicは、バックドア型マルウェアとして動作するトロイの木馬で、初めてその存在が確認されたのは2022年のことでした。出発点はインドネシアの企業でしたが、2024年9月にはサウジアラビアの企業に対しても攻撃が再開されました。特に注意すべきは、最近の攻撃で悪用されている手口です。

偽のChatGPTアプリの出現

攻撃者は、プログラミング言語Rustを使用して開発された偽のChatGPTアプリケーションを作成し、これを踏み台にしてPipeMagicを仕込む手法を採用しています。このアプリケーションは、初めは正規のものに見えるものの、実行すると空白の画面が表示されるだけです。しかし、その背後には悪意のあるデータが隠されており、その実行によりバックドアが形成されます。

攻撃の詳細

悪意のあるペイロードは、メモリオフセットを特定し、Windows APIの主要な関数を探ります。最終的に、PipeMagicがロードされ、特有の機能が発揮されるのです。その一つに、名付けられたパイプを作成することがあり、これを用いて指令サーバーからのデータ受信や追加のマルウェア指示が行われます。驚くことに、この指令サーバーはMicrosoft Azureにホストされているとの情報もあります。

サイバー犯罪者の戦略

Kasperskyのリサーチャー、セルゲイ・ロズキン氏は、サイバー犯罪者が新しいターゲットを見つけ、攻撃手法を絶えず進化させていることを指摘しています。このことから、企業にとっては今後、PipeMagicを使用した攻撃が増加することが予想されるとの警告を発しています。

企業が取るべき対策

この脅威に対抗するためには、企業のセキュリティ体制が重要です。推奨される対策には以下のようなものがあります。
1. 公式サイトからのソフトウェアダウンロード: インターネットからソフトウェアをダウンロードする際には、必ず公式サイトから行い、特にサードパーティのウェブサイトには注意が必要です。
2. 最新の脅威インテリジェンスの活用: SOCチームに最新の脅威情報を提供し、常に情報を更新することが重要です。
3. 専門的なトレーニングの実施: GReATが提供するオンライントレーニングを用い、自社のサイバーセキュリティチームのスキルを向上させることが求められます。
4. EDRソリューションの導入: KasperskyのEndpoint Detection and Responseなどを導入し、インシデントを迅速に検出・修復できる体制を整えます。
5. セキュリティ意識の向上: 社員のセキュリティ意識を高めるために、セキュリティトレーニングの実施を推奨します。

Kasperskyの概要

Kasperskyは1997年に設立されたグローバルなサイバーセキュリティ企業であり、10億以上のデバイスをサイバー攻撃から保護してきました。企業、政府、個人に対して広範なセキュリティソリューションを提供しており、そのポートフォリオには業界をリードするエンドポイント保護製品が含まれています。詳細は公式サイトをご覧ください。

このように、サイバーセキュリティは今後も重要なテーマであり、企業は一層の対策が求められています。