マイクロソフト、USBメモリーから感染する「Raspberry Robin」について警告

今回は「マイクロソフト、USBメモリーから感染する「Raspberry Robin」について警告」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間10月27日、USB接続のメモリー/ドライブを介して感染する比較的新しい「Raspberry Robin」ワームに関する警告を発出した。同社は過去30日間で、1000近い組織の3000台近くのデバイスに対して、このワームに起因するペイロード関連の警告を通知しているという。

 Raspberry Robinマルウェアは過去に、「FakeUpdates」マルウェアを用いてインストールされている事例が確認されている。FakeUpdatesは、ロシアのサイバー犯罪グループであるEvilCorpと関連があるという。またRaspberry Robinは、「LockBit」ランサムウェアのほか、「IcedID」や「Bumblebee」「Truebot」といったマルウェアをデプロイするために用いられてもいる。そして今回、「Clop」ランサムウェアをデプロイする目的でも用いられていることがMicrosoftによって確認された。

 同社は、Raspberry Robinを利用したClopのデプロイを、「DEV-0950」として追跡しているグループの仕業だと推測している。また同グループのアクティビティーは、FireEyeが「FIN11」として追跡している高度なハッキンググループのものと部分的に一致している。FIN11は2021年に、被害者のデータをClopランサムウェアのリークサイトで公開している。

 Microsoft Threat Intelligence Center(MSTIC)は同社ブログに、「DEV-0950はこれまで、フィッシング攻撃によって被害者の多くを生み出してきている。今回、Raspberry Robinの使用目的を変えるという彼らの注目すべき動きによって、既に感染している被害者の元にペイロードを送り込み、より迅速にランサムウェアの段階へと攻撃キャンペーンを移行することが可能になる」と記している。

 セキュリティ企業のRed Canaryは、2021年9月にRaspberry Robinを発見した。同社によるとこのワームは、フォルダーに偽装したLNKショートカットファイルが保存されたUSBメモリー/ドライブを介して「Windows」システムにインストールされるケースが多いという。そしてこのワームは、標的となったユーザーがUSBメモリー/ドライブを接続することでPCやサーバーに感染するようになっている。Windowsではリムーバブルメディアの自動実行(autorun)機能がデフォルトで無効化されているものの、多くの企業がレガシーなグループポリシーを通じてこの機能を有効化しているとMicrosoftは指摘している。

 MSTICが確認したところによると、Raspberry Robinは自動実行機能を悪用する方法と、ユーザーをだましてLNKファイルをクリックさせる方法を併用しているという。

 MSTICは「Raspberry Robinが仕掛けられたUSBメモリー/ドライブの中には、LNKファイルと実行可能ファイルしか保存されていないものがある一方、過去にはある種の設定が施されたautorun.infファイルが保存されているものもあった」と記している。

 この変化は、ショートカットファイルの名前がrecovery.lnkといった一般的なものから、USBメモリー/ドライブのブランド名に変更されたことに関係があると言える。Microsoftは、LNKファイルの名前がブランド名になっていると、ユーザー自身の手によって同ファイルが実行されやすくなるためだと推測している。またこのLNKファイルは、悪意あるペイロードをインストールするために、悪人の手に落ちたQNAPのストレージアプライアンスに対する呼び出しを実行するようにもなっているという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
[速報]オラクル、Java 8のままJava 17並の性能向上を得られるJava 8用パフォーマンスパックを発表。JavaOne 2022
Java
2022-10-19 00:04
富裕層以外の投資家にも道を開くエクイティクラウドファンディングをメインストリームに押し上げたいGumroad
VC / エンジェル
2021-05-18 05:27
ツイッターがユーザープロフィール刷新へ「About」タブ・代名詞・確認ステータスなど追加
ネットサービス
2021-05-23 10:28
aiboが“黒ごまアイス”カラーに ソニー、21年限定カラーを発表
ロボット・AI
2021-01-19 20:47
Fraunhoferがリチウムイオン充電池の10倍のエネルギー密度で水素を蓄えられる素材を開発
ニュース
2021-02-05 13:14
数学オリンピックで日本代表全員がメダル 開成高の神尾悠陽さんが金、日本勢2年ぶり
科学・テクノロジー
2021-07-27 13:10
ランサムウェア攻撃を受けた組織は66%、身代金は5倍に–Sophos年次調査
IT関連
2022-04-30 20:21
シトリックス、SASEに向けた「Citrix Secure Internet Access」を発表
IT関連
2021-02-27 11:22
新アプリ「My IIJmio」で他人の情報誤表示 254人に影響
セキュリティ
2021-07-20 10:43
「Windows 10」は2025年10月にサポート終了–ドキュメントに記載
IT関連
2021-06-15 01:07
アマチュア園芸家と町の園芸店をつなぐコミュニティの構築を目指すNeverlandが約3.2億円調達
ネットサービス
2021-04-27 10:10
JT、データインフラを導入で人的資本経営を促進
IT関連
2022-11-19 11:49
配信者専用「ソニック」登場 視聴者の気分次第で過酷なゲームに
くらテク
2021-06-29 18:36
奨学金・出産・子育てに関する助成費や保険など公共制度の認知や手続きを簡素化する「Civichat」が1500万円調達
GovTech
2021-05-28 05:50