Goで書かれたマルウェアが増えているそう

ウェッブ望遠鏡の天体写真にマルウェアを混入させた攻撃が報告される

Image:NASA, ESA, CSA, and STScI

セキュリティ分析および管理プラットフォーム企業のSecuronixが、ジェイムズ・ウェッブ宇宙望遠鏡(JWST)が撮影したSMACS 0723の写真にマルウェアを混入させ、配布して相手のPCに侵入しようとするセキュリティ侵害が拡散していると警告している。

この攻撃はいくつかの段階を踏んで行われるもので、まずMicrosoft Office文書に見せかけた “Geos-Rates.docx” という名のファイルを添付したメールを標的に送りつける。そして相手がそれを開いたときに、OfficeがVBSマクロを実行し、JWSTが撮影したSMACS 0723の写真をダウンロードする。この写真データは画像ビューアで見れば単なる写真だが、テキストエディタで見れば画像には証明書を装った追加コンテンツが含まれており、これがBase64エンコードおよび難読化されたペイロードになり、悪意ある実行形式のマルウェア本体ファイルに変化する。

またマルウェアは起動すると自らをユーザーフォルダに複製し、新規にレジストリキーを作成して常にPC上で自動的に実行されるよう環境を整えるとのこと。このマルウェアは動作を開始するとC&C(コマンド&コントロール)サーバーに接続し、暗号化された通信で任意のコマンドを遠隔実行できる仕組みになっているとのこと。

なぜジェイムズ・ウェッブ宇宙望遠鏡の画像が侵入に使われているのかという疑問には、もちろんセキュリティ意識の低いユーザーが、反射的に興味を持って画像を開くのに期待している部分もあると思われるものの、セキュリティ専門家のAugusto Barros氏によれば、ここ最近様々な場所で閲覧されている画像であり、マルウェア対策のレビュー担当者が見落とす可能性もあるとのことだ。一方で、画像そのものが高解像度でデータ容量も大きいため、マルウェアが混入した際のデータ量の変化も画像の圧縮の誤差などとして疑われにくくなるとも、Barros氏は指摘している。

しかし、専門家が画像よりも興味深いと述べているのは、このマルウェアを記述する言語が、Windows、Linux、Macに互換性があり、リバースエンジニアリングやその他解析への耐性が高いとされるプログラミング言語「Go」であるというところだ。

Goは2009年に発表された比較的新しい言語だが、コンピューター環境を問わない互換性の高さが最近人気を高める要因になっている。そして専門家は、「この言語がマルウェア開発者に気に入られつつあるのをわれわれは目の当たりにしている」と述べている。

今回発見された攻撃が、何を目的にしているのかはわかっていない。しかし、トロイの木馬として選んだデータの種類、そのコーディング言語の選択といった戦術面で、より多くのPCを標的にしようとする厄介かつ独創的な方法を採用しているのは、興味深い。なお当たり前だが、ジェイムズ・ウェッブ宇宙望遠鏡のもっともクオリティの高い画像を見たいのなら、NASAやESAといった、大元のサイトへ行くのが無難だ。

関連キーワード: