米株
【経済】サイバー犯罪組織「LuckyMouse」が盗んだ正規のデジタル証明書でマルウェアに署名し、攻撃に利用していることを確認
KasperskyLabのグローバル調査分析チーム「GReAT」(GlobalResearchandAnalysisTeam)は、サイバー犯罪組織「LuckyMouse」(別名APT27)が関与していると思われる、未知のトロイの木馬を利用した複数の感染を確認した。
このマルウェアの注目すべきところは、情報セキュリティ関連のソフトウェア開発企業が発行した正規のデジタル証明書で署名された、ネットワーク用のフィルタードライバー(NDISProxy)を含んでいたことである。このマルウェアは、背後に国家が存在するサイバースパイ活動に使われていると、KasperskyLabはみている。
サイバー犯罪組織LuckyMouseは、中国語話者の関与が疑われており、世界中の大規模な組織を対象とする高度な標的型サイバー攻撃を行うことで有名だ。活動範囲は、東南アジアや中央アジアが中心だが、今や全地域に広がりつつあり、その攻撃には政治的意図が含まれていると考えられる。
「GReAT」のリサーチャーは、標的のプロフィールやLuckyMouseが行ってきた撃方法から判断して、今回発見したトロイの木馬は、背後に国家が存在するサイバースパイ活動に使われているとみている。
このトロイの木馬は、LuckyMouseが作成したネットワーク用のフィルタードライバー(NDISProxy)を介して、標的のコンピュータに感染し、攻撃者によってコマンドの実行、ファイルのダウンロードとアップロードといったタスクの実行や、ネットワークを悪用できる。
このマルウェアで注目すべきことは、機能の一つであるネットワーク用のフィルタードライバーだ。このドライバーの信用度を上げるため、攻撃者は情報セキュリティ関連のソフトウェア開発企業の正規のデジタル証明書を盗用し、署名していた。その目的は、正規のソフトウェアに見せかけて、セキュリティソリューションの検知を回避することにある。
もう一つ特筆すべきことは、LuckyMouseはマルウェアを独自に作成できるにもかかわらず、一般に公開されているリポジトリのサンプルコードを利用し、カスタムマルウェアをつくっていることだ。独自のコード作成ではなく、第三者がすでに完成したコードを応用するので、開発の時間を節約し、攻撃者の特定が困難になる。
「GReAT」のセキュリティリサーチャーであるデニス・レゲゾ(DenisLegezo)氏は、次のように語っている。
「LuckyMouseが新たな攻撃を開始するのは、ほぼ必ずと言ってよいほど大規模な政治的イベントが控えているときで、攻撃のタイミングは世界の指導者が集まる会合の時です。このサイバー犯罪グループは、アトリビューションをそれほど気にはしていません。自分たちのプログラムに既存のコードサンプルを実装するようになったため、ドロッパーにもう一つレイヤーを追加するのも、マルウェアの改訂版を作成して追跡を逃れるのも、それほど時間をかけずに可能だからです」
「GReAT」は、2018年6月にもLuckyMouseが、ある国のデータセンターを攻撃し、国家レベルを対象とした水飲み場型攻撃を実施したと報告している。詳細は、Securelistブログ「LuckyMousehitsnationaldatacentertoorganizecountry-levelwaterholingcampaign」を確認のこと。
カスペルスキーの製品は、LuckyMouseのマルウェアを検知・ブロックする。
このようなサイバー犯罪組織による高度な攻撃から組織を守るために、次のことを推奨する。
・自社システムで実行しているコードを無条件に信用しない。デジタル証明書はバックドアが無いことを保証するものではない。
・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティソリューションを採用する。
・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを購読する。
LuckyMouseの詳細は、Securelistブログ「LuckyMousesignsmaliciousNDISProxydriverwithcertificateofChineseITcompany」を確認のこと。
□KasperskyLabとは?
IT上の脅威から世界を守る「SavetheWorldfromITthreats」をミッションに掲げるセキュリティソリューションベンダーである。設立は1997年で、ITセキュリティ市場のテクノロジーリーダーとして、大企業から個人ユーザーに、効果的なセキュリティソリューションを提供している。さらに、サイバー犯罪の撲滅を目標に、インターポールや世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っている。200の国で事業を展開しており、4億人のユーザーを抱えている。
【ニュース提供・エムトレ】
《US》
提供:フィスコ
