新種の遠隔型トロイの木馬「Moker」に注意 - 強力な検出回避技術

10月7日(米国時間)、Threatpostに掲載された記事「Moker RAT Bypassing Security Measures, Evading Detection｜Threatpost｜The first stop for security news」が、APT攻撃に使用される新たなリモートアクセス型のトロイの木馬「Moker」の存在を伝えた。「Moker」はセキュリティ・ソフトウェアによる検出を回避する機能を持ち、攻撃者が遠隔からシステムにアクセスできるように動作するという。

研究者らが発見したこの新しいトロイの木馬「Moker」はWindowsプラットフォームをターゲットとしている。アンチウイルス、サンドボックス、仮想マシンなどをバイパスする機能を持っているほか、設計上の欠陥を悪用してシステムに対する無許可の変更をユーザに通知する機能(User Account Control)も回避できる。さらに、セキュリティ・ソフトウェアなどに検出された後に研究者らによって解析されるのを防ぐためにアンチ・デバッグ・テクニックが適用されているという。

「Moker」に感染したWindowsプラットフォームは完全に攻撃者の制御下に置かれてしまうため、スクリーンショットの取得、Webトラフィックの記録、キー入力の監視、機密情報を含んだファイルの窃取など、さまざまな操作を実施される危険性がある。記事では今後、他のリモートアクセス型トロイの木馬が「Moker」に適用されている技術を流用する可能性があるとして注意を呼びかけている。