マルウェアファミリ Gamarue (別名 Andromeda) のボットネットをテイクダウン: Microsoft、ESET 等が欧米の法執行機関 と共同作戦

www.welivesecurity.com www.securityweek.com

• ESET での検出名は Win32/TrojanDownloader.Wauchos
  • 感染対象 OS は Windows
  • すくなくとも 2011 年の 9 月頃からは存在
  • ダークウェブのフォーラムで販売されているマルウェア、1台感染あたりの料金設定
  • 感染分布図を確認する限り日本での感染率はほぼ 0% の様子
  • 分布図で見た感染率が高いのはモンゴル、インド、ネパール、タンザニア、グアマテラなど
• Windows マシンの感染有無をチェックするオンラインツールはこちら
• 共同作戦で 494 の個別ボットネット、80 の関連マルウェアファミリ、1214 件の C&C サーバ情報を法執行機関に提供
• Wauchos は主に認証情報を窃取するダウンローダだがプラグイン方式で拡張可能
  • Wauchos に感染しているホストはほかのマルウェアにも感染していることが多い
• キーボードレイアウトが以下いずれかなら感染活動を停止する
  • ロシア
  • ウクライナ
  • ベラルーシ
  • カザフスタン
• テイクダウンでベラルーシ在住者を 1 名逮捕
• Wauchos が接続する先の C&C サーバのドメインは .ru (ロシア)
• 感染経路: SNS、インスタントメッセージ、スパム、外付けのストレージメディア、エクスプロイトキットなど多岐にわたる
• 感染状態を維持し、テイクダウンを阻止するための仕組みが組み込まれている
  • USB Spreader の Win32/Bundpil.CS プラグインを利用し、外付けメディア媒体でも感染拡大
  • PowerShell を利用してレジストリに書き込むファイルレスな動作
• ハッシュ値などの IOC については元記事の末尾を参照

上院議員 28 名がネットワーク中立性規制廃止の是非を問う投票の延期を: ボットによるニセのコメント巡り捜査を要求

www.cnet.com

• ネット中立性に関する FCC へのパブリックコメントの大部分をボットが書き込んでいるとして捜査を要求「捜査が完了するまでは投票すべきではない」
• ネットワーク中立法についての Wikipedia の説明
• 関連記事 ed3159.hatenablog.com