トロイの木馬型マルウェアの「URLZone](別名:Bebloh、Shiotobなど)による日本企業を標的にしたサイバー攻撃が2~4月に実行されたのですが、この攻撃活動では「プロセスホローイング」と呼ばれる手法を用いられたようです。
この木馬型マルウェアであるURLZoneは、10年近くにわたってさまざまなサイバー攻撃に使われ、最終的にインターネットバンキングサービスを悪用するマルウェアなどに感染させることを狙ったケースが多いとされているのですが、今回の活動によって約34社の日本企業で攻撃が検知されたのだそうです。
この攻撃では、不正なマクロを埋め込んだOfficeファイルを添付するフィッシングメールが企業に送り付けられ、このメールを受信した者がこのマクロを実行してしまうと、PowerShellを通じ、URLZoneのダウンロードと実行が始まるのだそうです。
やっかいなことにURLZoneは、Dropboxなどの正規アプリケーションに偽装されていて、実行後は動作している環境がサンドボックスなどの仮想化環境か、実際のコンピュータ環境かを確認するのだとか。
仮想化環境を検知した場合、URLZoneの動作が停止するのですが、実際のコンピュータ環境と判断した場合、プロセスホローイング手法が実行されるそうで、具体的には「explorer.exe(エクスプローラー)」もしくは「iexplorer.exe(Internet Explorer)」のプロセスを起動して不正なコードを挿入し、悪意ある動作を隠ぺいします。
こうして攻撃者が設置したコマンド&コントロールサーバに接続し、最終的にボットネットマルウェアの「Cutwail」やオンラインバンキングマルウェアの「Ursnif(別名:DreamBot、Goziなど)」をユーザーのコンピュータに送り込むようで、企業側では、今後不正な添付ファイルを開かないようにするよう従業員へのセキュリティ教育と技術的な対策が重要になってきます。
