【スポンサーリンク】

どうしてUSBメモリでマルウェア感染するの?(UNC4990の事例)

どうしてUSBメモリでマルウェア感染するの?(UNC4990の事例)
  • 借りたUSBメモリの中にある、一見ふつうのショートカットが実は「マルウェア」のスイッチになるリスクがあります。
  • USBメモリは、ファイルの保存や共有に便利ですが、サイバー攻撃の温床にもなります。
  • 「UNC4990」というサイバー犯罪組織が、「LNKファイル」や「隠しフォルダ」の仕組みを悪用して、不正なコードを実行するUSBメモリを使っていた事例を紹介します。
  • ちなみに、一般利用者の場合、危険なUSBメモリの入手経路は、たいていはうっかりマルウェア感染している知り合いです。
どうしてUSBメモリでマルウェア感染するの?(UNC4990の事例)

手口そのものは、スクリプトを実行させて、マルウェアをダウンロードさせるものだね。
スクリプトの隠し方が興味深いけど。

\記事が役に立ったらシェアしてね/

この記事では、わかりやすさを重視して説明しています(やや厳密さには欠ける表現もあります)。イメージが掴めたら、より専門的な解説へと進んでください。

【スポンサーリンク】

1. 個人情報や金銭を狙う新しい攻撃手法

「UNC4990」は、2020年ごろから活動しているサイバー犯罪組織です。
主にイタリアの企業や組織を標的に攻撃しているようです。
細工したUSBメモリを使って、マルウェアを拡散していました1

UNC

「UNC」とはサイバーセキュリティ分野で、特定されていないサイバー脅威アクターや攻撃グループに一時的に与えられる「Uncategorized」の略称です。
この識別子は、セキュリティ研究者が未分類の攻撃活動を特定し、分析する際に役立ちます。識別子に続く数字(例:UNC4990)は、その脅威やキャンペーンを明確に区別するために割り当てられます。

2. 「UNC4990」による手口

  • 「UNC4990」は、USBメモリに保存されたLNKファイルを通じて初期感染を試みました。
  • このファイルを開くと、隠されたPowerShellスクリプトが実行され、最終的には「EMPTYSPACE」と呼ばれるマルウェアローダーがダウンロードされます。
  • このローダーからさらに、金銭窃取や情報収集を目的としたバックドア型マルウェアが配布されることがあります。
「UNC4990」による手口

2-1. 初期感染:LNKファイル

まず、サイバー犯罪者はUSBメモリに特殊なLNKファイルを仕込みます。
このファイルは、見た目はUSBメモリそのもののショートカットのように見えます(例:  KINGSTON (32GB).lnk)。
しかし、開くと裏で悪意のある動作を開始します。

C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden -NoProfile -nologo -ExecutionPolicy ByPass -File explorer.ps1

2-2. 隠されたスクリプトの実行

LNKファイルは、隠されたPowerShellスクリプト(explorer.ps1)を実行するショートカットになっています。

このスクリプトは、見た目上は存在しない「空白のフォルダ」に保存されています。
これが特殊な技術を使って隠蔽されているため、一見するとフォルダは空っぽに見えます。

さらに、スクリプトがセキュリティソフトに検出されるのを避けるために、処理を特殊な符号化(難読化)されています。

  1. 悪意のあるコードをいったん逆順にし、
  2. さらにBase64エンコードしてから
  3. PowerShellスクリプト内に埋め込みます

実行時には、埋め込まれた文字列を逆順に変換して、もとのコードに戻して「悪意のあるコード」を実行します。

2-3. マルウェアローダーのダウンロード(EMPTYSPACE)

スクリプトには、インターネットから「EMPTYSPACE」というマルウェアローダーをダウンロードする処理が書かれています。
このローダーは攻撃者がコントロールするサーバーから送られてきます。

マルウェアローダー

「マルウェアローダー」とは、コンピューターに悪意のあるソフトウェア(マルウェア)をダウンロードして実行するためのプログラムです。このローダーは、最初の感染段階でコンピューターに導入され、その後、さらに危険なマルウェアをコンピューターに送り込む役割を果たします。

2-4. バックドア型マルウェア「QUIETBOARD」

コンピューターを遠隔操作したり、個人情報を盗んだりするために、「EMPTYSPACE」は、コンピューターに追加のマルウェアをダウンロードして実行します。

例えば、「QUIETBOARD」というマルウェアが仕込まれることがあります。
攻撃者が被害者のコンピューターに様々な命令を出せるようにするもので、情報窃取や更なる攻撃の拡大に利用されます。

3. 変なUSBメモリはどこから?

変なUSBメモリはどこから?

こういうUSBメモリってどうやって入ってくるの?

マルウェアに感染したUSBメモリは、さまざまな経路で渡される可能性があります。

たとえば、

  • パソコンのマルウェア感染に気づいていない知り合いから受け取るUSBメモリ
  • イベントや展示会などで無料配布されるUSBメモリ
  • 意図的に感染させたUSBメモリを公共の場や職場で見つけやすい場所に置く「ベイト攻撃」
  • 新品で購入したUSBメモリなのに、製造過程や流通過程でマルウェアに感染している
  • サイバー攻撃を意図している者から直接送られる

一般利用者の場合、一番 気をつけた方がよいのは、知り合いから渡されたUSBメモリです。
その人のパソコンが「安全」かどうかは不明だからです。

3-1. USBメモリの自動実行をオフにする

このような脅威から身を守るためには、

  • 未知のUSBメモリの使用を避け、
  • 定期的なセキュリティチェックを行う

ことが重要です。

とくに、Windowsでは、USBメモリを挿入した際に自動でプログラムが実行される「オートラン機能」があります。
マルウェアの自動実行を防ぐには、無効に設定しておいた方が安心です。

USBメモリの自動実行をオフにする

「USBの自動実行」のように、Windowsのセキュリティ問題は、「便利な機能」が仇になるケースが多いですね。

こちらもどうぞ。
よくわからない PDF が英文メールで送られてきた【PDFマルウェア?】
よくわからない PDF が英文メールで送られてきた【PDFマルウェア?】
PDFが添付された不審な英文メールが届きました。しかも、差出人も偽装されていました。添付されたPDFはマルウェアの危険もあります。しかし、慎重にウイルスチェックをしても問題が検出されませんでした。念のため、メール・ファイルは閲覧せず削除しました。不審なメールと添付PDFメール受信箱に、不審な英文のメールが届いていました。添付ファイルに PDF もあります。件名は、「Request For Quotaion / Urgent Supply(見積依頼・緊急納品)」、差出人は、「U...

ウェブページのスクリプトがマルウェアを「組み立てる」危険とは?【HTMLスマグリング】
ウェブページのスクリプトがマルウェアを「組み立てる」危険とは?【HTMLスマグリング】
Microsoft Security Intelligenceによると、近年 「HTMLスマグリング(HTML Smuggling:HTMLの密輸)」というサイバー攻撃の手法が増えているそうです。「ウェブページのJavaScriptが、コンピュータ内にマルウェアを構築する」という話を見て、「ウェブページを見るだけで、マルウェアが保存されてしまうのか」と思ってびっくりしました。ただ、「見るだけで感染する」というわけではなさそうです。注意点は「フィッシング詐欺」と一緒。怪しいメー...

USBメモリーの読み込みが終わらない?
USBメモリーの読み込みが終わらない?
「USBメモリーが壊れてしまい、データを復旧したい」という相談がありました。パソコンにUSBメモリーを挿入して、エクスプローラーで表示したところ、読込み中の緑色のバーが途中で止まって反応しません。しかし、そのまま待つと、ファイル一覧が表示されました。しかし、フォルダを開こうとすると、すぐに「応答なし」になってしまいます。とにかくUSBメモリーからパソコンにコピーをしてひたすら待つと、約24時間かかりましたが、無事に全てのデータを取り出すことができました。データの転送経路に問題...

(補足)

  1. Evolution of UNC4990: Uncovering USB Malware’s Hidden Depths | Mandiant
QRコードを読み込むと、関連記事を確認できます。

どうしてUSBメモリでマルウェア感染するの?(UNC4990の事例)
【スポンサーリンク】
タイトルとURLをコピーしました