複数の高度な機能を持つランサムウェア「Sodin」、アジアを中心に拡大(カスペルスキー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.18(日)

複数の高度な機能を持つランサムウェア「Sodin」、アジアを中心に拡大(カスペルスキー)

カスペルスキーは、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見したと発表した。

脆弱性と脅威 脅威動向
株式会社カスペルスキーは7月12日、Windowsの既知の脆弱性を悪用するランサムウェア「Sodin」を発見したと発表した。同社のリサーチチームが発見したもので、複数の高度な機能を持つ「まれ」なランサムウェアであるとしている。Sodinは、2018年10月に発見されたWindowsの権限昇格のゼロデイ脆弱性(CVE-2018-8453)を悪用してセキュリティソリューションの検知を回避し、感染を拡大する。

この脆弱性を悪用することで、メールの添付ファイルを開いたり、悪意のあるリンクをクリックするなど、ユーザが操作を行うことなく感染する。攻撃者は脆弱なサーバを見つけて悪意あるファイルradm.exeをダウンロードさせるコマンドを送るだけで、Sodinがローカルに保存され実行される。また、ランサムウェアには珍しく32ビットプロセスから64ビットコードを実行する「Heaven's Gate」という手法を使用している。

SodinはRaaS(Ransomware as a Service)のスキームのひとつとみられ、攻撃手法を自由に選ぶことができる。Sodinではアフィリエイトプログラムを経由して配布されている形跡があり、検知の17.6%は台湾、9.8%が香港、8.8%が韓国など、アジア地域を主な標的としている。検知の回避にCPUアーキテクチャを使用するなど膨大なリソースにより作成されている可能性があり、今後も攻撃が増加するとみている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×