RAT「Poison Ivy」に復活の兆し--FireEyeがレポート(ファイア・アイ)
ファイア・アイは、FireEye本社がレポート「Poison Ivy: Assessing Damage and Extracting Intelligence(Poison Ivy:被害の評価と活動実態の解明)」を公開したと発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
Poison Ivyは、2011年に発生したRSA SecurityのSecurIDデータに対する攻撃で使用されたことで有名。またPoison Ivyは、同年に行われた、化学メーカーや官公庁、防衛関連企業、人権団体に対する協調攻撃「Nitro」でも使用されていた。レポートではPoison Ivyを使用している複数の国民国家を背景とした攻撃者を特定している。たとえば、2008年から活動しており、金融サービス企業をはじめ通信事業者や官公庁、防衛関連企業などを標的とする「admin@338」。2009年に初めて存在が確認され、高等教育機関やヘルスケア業界を中心に、さまざまな業種の組織へ攻撃している「th3bug」。米国およびその他の国の防衛関連企業を標的にしているものと推定される「menuPass」などを取り上げている。
レポートと同時に公開された「Calamine」パッケージは、Poison Ivyを利用した攻撃の痕跡を探し出すことができるツール。痕跡には、Poison Ivyプロセスのミューテックスとパスワード、外部へのデータ送信やネットワーク内での移動を示すデコードされたC&C用のトラフィック、Poison Ivyのマルウェア活動のタイムラインなどがある。レポートでは、「Calamine」パッケージがどのようにしてこれらの情報と攻撃の別の側面とを結びつけるかについて解説している。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/