最近のCCleanerマルウェア事件を受けて、Avast(CCleanerの新たな所有者)とCiscoのTalos Intelligenceセキュリティ研究グループは、攻撃の分析を継続しました。両社は、このマルウェアが当初考えられていたよりも巧妙であり、大企業を標的として知的財産を盗み取ろうとしていることを発見しました。
高度な持続的脅威
Avastは、このマルウェアは実際には高度な持続的脅威(APT)と呼ばれる攻撃の一種であると結論付けました。これは通常、国家が仕掛ける高度な攻撃です。CCleanerに感染したAPTは、特定の被害者にのみ第二段階のペイロードを配信することを目的としていました。
感染したCCleanerのバージョンをインストールした227万人のユーザーのうち、第2段階のペイロードにも感染していたのは数百人程度だとAvastは考えています。Avastは以前、第2段階のペイロードは配布されなかったと考えていると述べていましたが、現在、その発言を撤回しています。
大企業が標的に
ウイルス対策メーカーは、このAPTが日本、台湾、英国、ドイツ、米国の大手テクノロジー企業および通信企業を水飲み場攻撃によって標的にしたと発表しました。水飲み場攻撃とは、数百万人が利用する人気のウェブサイトやツールを標的とし、同じツールを使用している可能性のある少数の標的に感染させる攻撃です。この名称は、水飲み場に水を飲みに来る動物たちを狙う捕食者が、獲物を狙う機会を狙う現実世界に由来しています。
Avastは今回の攻撃の標的が誰なのか明かしませんでしたが、Ciscoは攻撃者がハッキングを試みていた標的のリストを公開しました。Ciscoのほか、Intel、HTC、Samsung、Sony、VMware、Microsoft、Vodafone、Epson、Linksys、MSI、Akamaiなどが含まれています。
複雑な難読化コード
Avastによると、第2段階のペイロードには複雑で難読化されたコードと2つのDLLコンポーネントが含まれています。最初のコンポーネントにはデバッグ対策とエミュレーション対策のメカニズムが備わっており、別のコマンドアンドコントロール(C2)サーバーを見つけることが目的のようです。
C2サーバーのアドレスは将来変更される可能性があるため、法執行機関が元のC2サーバーをシャットダウンするだけでは不十分な可能性があります。攻撃者は感染したマシンの制御を取り戻し、別のサーバーを介してリモート制御を継続する可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
第2段階のペイロードの2番目の部分は、オペレーティングシステム上での永続化を担っており、検出を回避し永続化を維持するために、他社のアプリケーションに便乗しているようです。32ビット版のコードはWinzipパッケージに埋め込まれますが、64ビット版はSymantecのDLLを使用します。悪意のあるコードのほとんどはレジストリから配信されます。Avastは、これらの手法はすべて、攻撃者の高度な技術レベルを示していると指摘しています。
帰属
サイバー攻撃の犯人特定は困難です。高度な技術を持つ攻撃者は、他の攻撃者のコードやハッキングスタイルを再利用することで、あたかも別人が攻撃を行ったかのように見せかけることができるからです。特定の国でハッキングしたコンピューターから攻撃を開始することで、再利用したIPアドレスを巧妙に利用して身を隠すこともあります。これが、アバストが現時点で攻撃者の正体を明かすことを躊躇している理由でもありますが、同社は引き続き法執行機関と協力し、犯人を特定していくことを約束しました。
しかし、シスコとカスペルスキーは、このマルウェアが「Group 72」(別名「Deep Panda」「Axiom」「Shell Crew」)が使用するマルウェアコードと重複するコードを使用していることを確認しました。Group 72は中国政府から資金提供を受けているサイバースパイ集団とみられており、健康保険会社アンセムから8,000万件の米国社会保障番号を盗んだとも考えられています。
Avastは当初、クリーンなバージョンのCCleanerにアップデートすれば十分だと示唆していましたが、Ciscoはバックアップから復元し、システムのイメージを再作成する方が安全だと推奨しました。AvastはCCleaner 5.35へのアップデートも推奨しています。これは、感染した5.33バージョンとクリーンアップされた5.34バージョンの署名に使用していたSymantecの証明書も失効させたためです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
