トロイの木馬「PurpleFoxマルウェア」が呼び込む最新の脅威とは

弊社が世界規模で運営するGSOC(Global Security Operation Center)において、最近「PurpleFox」と呼ばれるマルウェアの活動を検知しました。PurpleFoxは2018年に初めてその存在が確認されたマルウェアで、主にランサムウェアや情報窃取系マルウェア、クリプトマイナー(仮想通貨採掘ツール)など他のマルウェアに侵入経路(バックドア)を提供するトロイの木馬として機能します。

初めて発見されてからこれまでの間、確認されただけでもPurpleFoxのバリエーションはかなりの数に上り、短期間のうちに新たな攻撃手法や感染手段を数多く身に付けています。そして弊社のGSOCが観測した最新の攻撃手口では、「PrintNightmare」と呼ばれるWindowsの脆弱性を突くマルウェアをダウンロードして実行に移そうとしたことが確認されています。

PrintNightmareは、Windowsのプリントスプーラサービス「spoolsv.exe」が抱える脆弱性で、これを悪用することで攻撃者は端末内でリモートコード実行やローカル権限昇格などを可能にします。Windowsの標準サービスが抱える脆弱性だけにその影響範囲は広く、2021年7月にはIPA(情報推進処理機構)から注意喚起がなされるなど、被害の拡大が懸念されています。

なおPurpleFoxは、多くの場合フィッシングメールや不正サイトを通じて感染します。弊社のGSOCが観測した事例では、まず感染した端末上でspoolsv.exeの脆弱性を悪用して不正なDLLファイルをロードします。このDLLファイルは、後続のペイロードをダウンロードして実行するためのPowershellプロセスを開始する役目を担っているものと考えられます。

続いてこのPowershellプロセスは、自身が管理者ユーザーとして実行されているかどうかを確認します。もし管理者ユーザーでない場合は、ローカル権限昇格を試みます。もし管理者ユーザーだった場合は、「Hidden」と呼ばれるオープンソースのルートキットをダウンロード・インストールします。このルートキットは、後に続くペイロードのダウンロードや実行を隠蔽するためにファイルやプロセス、レジストリキーを非表示にするために利用されます。

なお端末が再起動されても攻撃が引き続き行われるよう、レジストリキー「PendingFileRenameOperations」を使ってマルウェアのDLLファイルをシステムDLLファイルと同じ名前にリネームする処理も行われます。これにより感染を発覚しにくくするとともに、攻撃がその後も永続化されることを狙っています。

PurpleFoxマルウェアの感染を防ぐためにできること

では一体どうすれば、この種の攻撃から身を守ることができるのでしょうか。PurpleFoxはシステムやアプリケーションの脆弱性を悪用して感染を図りますから、まずはシステムやアプリケーションのバージョンを最新に保ち、脆弱性が確実に対処されていることを確認するのが第一です。

また、PurpleFoxの感染手段として多く用いられるフィッシングメールに対する意識を高めておくことも大切です。自社の従業員に対して、フィッシングメールが疑われるメールをうかつに開かないことや、不審な添付ファイルを実行しないことをあらためて周知徹底するとともに、定期的にフィッシングメール対策訓練も実施できればなおいいでしょう。

ちなみにPurpleFoxで使用されるマルウェアは、主にInternet Explorerを標的としたエクスプロイトキットを介して感染することが知られています。そのため、もし可能であればInternet Explorer以外のより安全なブラウザソフトウェアを利用することをお勧めします。

ただしこれだけの対策を講じたとしても、PurpleFoxをはじめとする最近のサイバー攻撃は極めて巧妙な手口を使って侵入を図るため、100%感染を防げる保証はありません。そのため、万が一感染してしまったケースを想定した事後対策もしっかり講じておくことが大切です。

弊社が提供するEDR(Endpoint Detection and Response)製品「Cybereason EDR」は、こうしたニーズにまさにぴったりの製品だと言えます。PCやサーバといったエンドポイント端末に感染したマルウェアが不審な動きを始めた瞬間に検知し、実害が生じる前にその存在を排除できます。

また弊社では、Cybereason EDRを使った脅威の監視・検知をマネージドサービスとして代行するMDR製品「Cybereason MDRサービス」や、お客様のシステムが現在マルウェアに感染していないかチェックする「セキュリティ・ヘルスチェック・サービス」なども提供しています。セキュリティ製品とあわせて、こうしたサービスもうまく利用することで、PurpleFoxのような最新の攻撃から自社システムをより確実に守ることができるでしょう。

なお本稿で紹介したPurpleFoxおよびPrintNightmareの脅威については、別途「Cybereason GSOC セキュリティ・アップデート(2021年8月版)」という資料で詳細を公開しています。誰でも無料でダウンロードできますので、興味をお持ちの方は以下のURLからぜひご参照ください。
https://www.cybereason.co.jp/product-documents/survey-report/7106/

【ホワイトペーパー】有事を見据えたセキュリティ運用とは?〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/