ESET、Windowsの“デフォルトの印刷モニター”として登録されるマルウェア「DePriMon」を検出

ESETの公式ブログ

　セキュリティベンダーのESETは11月21日（現地時間）、これまでに公開されたことのない新しい手法を用いたマルウェア「DePriMon」の存在を発表した。少なくとも2017年3月から活動を続けており、中央ヨーロッパに本拠を置く民間企業および中東地域で検出されたという。

　「DePriMon」は、新しいローカルポートモニターを登録してシステムに常駐し、マルウェアを取得する“ダウンローダー”として振る舞う。その際、“Windowsのデフォルトの印刷モニター（Default Print Monitor）”として登録されることから、「DePriMon」と名付けられたという。

　「DePriMon」の仕組みはかなり複雑で、アンインストールを防止するためのチェック機能を備えるほか、C＆C（遠隔指令）サーバーとの通信に“WinHTTP”や“WinInet”ではなくMicrosoftのSSL/TLS実装である“セキュアチャネル”を利用する。攻撃の際はダウンローダー自身ではなく構成ファイルからデータを読み取り、その量もダウンローダーとしてはかなり多い。攻撃手法をあとから柔軟に変えられる上、そのデータが暗号化されずにメモリに残らない用意周到な設計になっている点も特徴だ。

　セキュリティデータベース“MITRE ATT&CK”では常駐化と権限昇格の両方の手法に属する“ポートモニター”と解説されているが、こうした特徴から同社はこれまでに公開されたことのない手法を使用したマルウェアの最初の例であると考えられているという。

　「DePriMon」が通信するC＆Cサーバーのドメイン名の一部にはアラビア語が含まれており、特定の地域を狙った攻撃であることがわかる。今のところ、日本には影響がないようだが、同時期にサイバースパイグループのLamberts（別名：Longhorn）が利用していたマルウェア「ColoredLambert」と一緒に検出されていた点には警戒を要するとしている。これはCIAが有名アプリの脆弱性を悪用してスパイ活動を行っていたことを暴露した機密文書“Vault 7”の漏洩にもかかわっているという。