正規のアプリに偽装し検出を回避する「PlugX」の亜種を確認(トレンドマイクロ) | ScanNetSecurity
2026.06.29(月)

正規のアプリに偽装し検出を回避する「PlugX」の亜種を確認(トレンドマイクロ)

トレンドマイクロは、標的型攻撃において自身の活動の隠蔽に利用される「RAT」のひとつである「PlugX」が、検出を回避するために複数の正規アプリケーションを利用することを確認したとブログで発表した。

脆弱性と脅威 脅威動向
24 views
facebookLINE
「PLUGX」のコードの一部
「PLUGX」のコードの一部 全 1 枚 拡大写真
トレンドマイクロ株式会社は5月1日、標的型攻撃において自身の活動の隠蔽に利用される「Remote Access Tool(RAT)」のひとつである「PlugX」が、検出を回避するために複数の正規アプリケーションを利用することを確認したと同社ブログで発表した。またこの不正プログラムは、DLLファイルが読み込まれるときに実行ファイルで確認される特定の脆弱性を利用する。具体的には、実行ファイルが特定のフォルダ内でどのような DLLファイルを最初に読み込むかという、DLLファイルの検索優先順位を悪用するもの。

このような亜種の多くはアジア圏、特に中国や日本、台湾において確認されている。各事例において留意すべき点は、特定のDLLファイルは実行ファイルと対になっていることだという。最初のDLLファイルがアプリケーションによって読み込まれると、PlugXの亜種はファイルパスを取得し、第二の拡張子を付加することによってウイルス検出から回避しようとする。取得した新しいファイルパスは「CreateFile」というAPIによって開かれる。これに成功すると、不正プログラムはメモリ内に暗号化されたコンポーネントのコンテンツを格納するための空きスペースを割り当てる。そして暗号化されたコードは、最終的にコマンド「call EBX」または亜種ごとによって特定されるレジストリを介して呼び出されることになる。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. IPA脆弱性届出、製品別は「Webアプリ」が最多に -- 四半期レポート

    IPA脆弱性届出、製品別は「Webアプリ」が最多に -- 四半期レポート

  2. スポーツクラブ「ルネサンス」の元同社経理担当社員を逮捕

    スポーツクラブ「ルネサンス」の元同社経理担当社員を逮捕

  3. 狙われたのは忘れられたシステム ~ サイバー攻撃被害企業が語ったインシデント対応の現実

    狙われたのは忘れられたシステム ~ サイバー攻撃被害企業が語ったインシデント対応の現実

  4. 第三者からの不正ログインで「よんでんポイント」を他社ポイントへ交換される被害(四国電力)

    第三者からの不正ログインで「よんでんポイント」を他社ポイントへ交換される被害(四国電力)

  5. セキュリティシステムの誤検知で「お問い合わせ内容の通知メール」が不通に

    セキュリティシステムの誤検知で「お問い合わせ内容の通知メール」が不通に

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP