国内企業(海外支店)のパソコンがDarkGateと呼ばれるマルウェアに感染したことを期に、企業ネットワーク全体がランサムウェア攻撃の被害に遭ったとの事例を確認しました。
今回攻撃の起点となったDarkGate感染は、被害企業の従業員が日ごろの業務で使用している外部サイト(被害企業管理外)にアクセスしたところ、外部サイトから複数サイトを経由して悪質なサイトへ誘導された結果、感染したと思われます。
DarkGateとは、
・リモートアクセス
・キーロガー(キーボード入力を盗み取る)
・ブラウザ情報の窃取
・ユーザー権限の昇格 など
の機能を持つマルウェアであり、今回攻撃者は感染したパソコンを踏み台とし、これらの機能を使用して企業ネットワークへの侵入を展開した後、ランサムウェア攻撃を行ったものと考えられます。
またDarkGateの一般的な感染経路として、
・ブラウザの更新や正規のアプリケーションを騙ったWebサイト(広告)へ誘導して感染させる
・正規ユーザーのインスタントメッセージングプラットフォームアカウントを乗っ取り、被害者へ悪意のあるスクリプト実行(感染)させる
・フィッシングメール経由で感染させる
などが確認されています。
信頼できる送信元であってもリンクを不用意にクリックしないことはもちろんのこと、ブラウザの更新やアプリケーションのダウンロードをする必要があるときは、【信頼できる正規のサイトからのみダウンロードする】ことも重要です。
DarkGateに関する解説(トレンドマイクロ株式会社)
https://www.trendmicro.com/ja_jp/research/23/k/darkgate-opens-organizations-for-attack-via-skype-teams.html
ページの先頭へ