NEW: Watch the N20S v25.2 Release Notes
観る
アカデミー
ラボ
採用情報
パートナーログイン
サポート
LookBackマルウェアとその検出方法について知っておくべきこと

LookBackマルウェアとその検出方法について知っておくべきこと

Nozomi Networks ラボ
|
2019年8月3日

この記事は2020年3月3日に更新されました.

8月1日,Proofpointのセキュリティ研究者は,"LookBack "と呼ばれるマルウェアを使用し,3つの異なる米国の電力会社を標的としたスピアフィッシング・キャンペーンの詳細を報告した.7月19日から7月25日にかけて送信されたスピアフィッシングメールには,悪意のあるMicrosoft Wordの添付ファイルが含まれており,ファイルの削除,スクリーンショットの撮影,マシンの再起動,そして感染したネットワークからの自己削除といった動作を実行できるリモートアクセス・トロイの木馬(RAT)がインストールされていた.

Prooftpointは3社でLookBackマルウェアの存在を確認することができましたが,このマルウェアは他の組織にも感染している可能性があります.スピアフィッシング・キャンペーンで使用された電子メールは,エンジニアや測量士の職業免許を扱う米国の非営利団体であるNational Council of Examiners for Engineering and Surveying(NCEES)からのものであるかのように偽装されていました.NCEESのロゴを不正に使用しながらも,電子メールには悪意のあるマイクロソフトが埋め込まれたWord文書が含まれており,この文書を開くと,これまでに見たことのないRATがインストールされ,実行されました.

研究者がThreatpostに語ったところによると,電子メールは無名の電力会社に感染する前にブロックされたとのことである.

LookBackの仕組み

Proofpoint社のレポートによると,LookBackはプロキシ通信ツールに依存し,感染したホストからコマンド・アンド・コントロール・サーバ(C2)にデータを中継するRATである.このマルウェアは,プロセス,システム,ファイルのデータを閲覧したり,ファイルを削除したり,スクリーンショットを撮ったり,感染したシステムのマウスを動かしたりクリックしたり,マシンを再起動したり,感染したホストから自身を削除したりすることができる.

研究者によると,LookBackのスピアフィッシング・キャンペーンは,2018年に日本企業を標的とした既知のAPT敵対者がかつて使用していた戦術を使用しており,マルウェアの急速な進化と国家行為者によるその使用の性質を浮き彫りにしている.

フィッシング・メールに添付されたMicrosoft Word文書には,実行すると3つの異なるPrivacy Enhanced Mail(PEM)ファイルをドロップするVBAマクロが含まれている.その後,Certutil.exeがPEMファイルをデコードするためにドロップされ,後にessentuti.exeを使って本当の拡張子に復元される.ファイルはその後,C2コンフィギュレーションを含むNotepad++などの一般的なツールで使用されるオープンソースバイナリの名前になりすまされます.最後に,マクロはGUP.exeとlibcurl.dllを実行し,LookBackマルウェアを実行します.実行されると,LookBackは,ファイルの検索,ファイルの読み取り,ファイルの削除,ファイルへの書き込み,サービスの開始など,多数のコマンドを送受信できるようになります.

あなたの組織は LookBack にさらされていますか?それを検知する方法をご紹介します.

脅威の性質上,関連する活動を検知するための複数の管理体制を整えることが重要です.これには,従業員や担当者が偽メールや悪意のあるメールをよりよく識別できるようにするための継続的なセキュリティ意識向上トレーニングが含まれます.しかし,SPAMフィルタやファイアウォールだけでなく,Nozomi Networks Labsは,異常な行動を特定するための異常検知技術と,既知の脅威に関連する不審な行為者について追加のコンテキストを提供するための従来の脅威検知機能の両方を使用することを推奨しています.

この攻撃の発表から 24 時間以内に,Nozomi Networks Labs チームは,Threat Intelligence に新しいルールとシグネチャを追加し,お客様の環境における LookBack の検出を支援しました.これにより,既知の脅威である LookBack に関連する不審なアクティビティに対してアラートが発 生し,迅速な検出と修正が可能になります.Threat Intelligence をご利用のお客様は,これらの新しいルールを有効にするために,お使いのシステムが最新バージョン(2019年8月2日以降)を実行していることをご確認ください.

LookBackについて詳しく知りたい方は,来週のウェビナーに以下のリンクから登録することをお勧めします.公益企業に対するサイバー脅威が増加の一途をたどる中,LookBackは,公益企業がサイバーセキュリティを強化し続ける上で,まだやるべきことがたくさんあることを改めて認識させるものだ.

見つかりませんでした.
見つかりませんでした.
見つかりませんでした.
見つかりませんでした.
Nozomi Networks ラボ
著者について

Nozomi Networks ラボ

Nozomi Networks Labs は,世界の産業および重要なインフラストラクチャ組織のサイバーリスクの低減に専念しています. サイバーセキュリティの研究と業界および機関との連携を通じて,私たちは日常生活を支える運用システムの防御に貢献しています.

関連記事

Threat Actor Activity Related to the Iran Conflict

How to Ensure You Have Complete OT/ICS Asset Visibility

How Complex Operations Benefit From Process Variable Monitoring

Fuzzing Protocol Implementations: 10 Vulnerabilities in the P-Net PROFINET Library

サブスクライブ

LinkedIn

デモ

プラットフォーム

プラットフォームの概要VantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat Intelligence (脅威インテリジェンス)Smart PollingインテグレーションPSIRT

プロフェッショナルサービス

プロフェッショナルサービスDesignated EngineerFast Track ServicesHealth Check ServiceOptimization Service

ソリューション:ビジネスニーズ

脅威の検知と対応継続的なネットワーク監視資産在庫管理リスクと脆弱性の管理IoT セキュリティデータセンターのサイバーセキュリティ

ソリューション:コンプライアンス

NERC CIPNIS2 指令TSA セキュリティ指令

ソリューション:産業

空港電気事業ヘルスケア連邦政府製造業海事鉱業石油&ガス医薬品鉄道小売スマートシティ上下水道

詳細

アカデミー採用情報会社概要Customer Storiesお問い合わせパートナーリソースラボリーガルTrust Center
LinkedIn logo
© 2025 Nozomi Networks Inc. All Rights Reserved. Privacy Policy and Certifications. System Status.