September 21, 2018 / 6:32 AM / 3 months ago

サイバー犯罪組織「LuckyMouse」が盗んだ正規のデジタル証明書でマルウェアに署名し、攻撃に利用していることを確認


*15:25JST サイバー犯罪組織「LuckyMouse」が盗んだ正規のデジタル証明書でマルウェアに署名し、攻撃に利用していることを確認
KasperskyLabのグローバル調査分析チーム「GReAT」(GlobalResearchandAnalysisTeam)は、サイバー犯罪組織「LuckyMouse」(別名APT27)が関与していると思われる、未知のトロイの木馬を利用した複数の感染を確認した。
このマルウェアの注目すべきところは、情報セキュリティ関連のソフトウェア開発企業が発行した正規のデジタル証明書で署名された、ネットワーク用のフィルタードライバー(NDISProxy)を含んでいたことである。このマルウェアは、背後に国家が存在するサイバースパイ活動に使われていると、KasperskyLabはみている。
サイバー犯罪組織LuckyMouseは、中国語話者の関与が疑われており、世界中の大規模な組織を対象とする高度な標的型サイバー攻撃を行うことで有名だ。活動範囲は、東南アジアや中央アジアが中心だが、今や全地域に広がりつつあり、その攻撃には政治的意図が含まれていると考えられる。
「GReAT」のリサーチャーは、標的のプロフィールやLuckyMouseが行ってきた撃方法から判断して、今回発見したトロイの木馬は、背後に国家が存在するサイバースパイ活動に使われているとみている。
このトロイの木馬は、LuckyMouseが作成したネットワーク用のフィルタードライバー(NDISProxy)を介して、標的のコンピュータに感染し、攻撃者によってコマンドの実行、ファイルのダウンロードとアップロードといったタスクの実行や、ネットワークを悪用できる。
このマルウェアで注目すべきことは、機能の一つであるネットワーク用のフィルタードライバーだ。このドライバーの信用度を上げるため、攻撃者は情報セキュリティ関連のソフトウェア開発企業の正規のデジタル証明書を盗用し、署名していた。その目的は、正規のソフトウェアに見せかけて、セキュリティソリューションの検知を回避することにある。
もう一つ特筆すべきことは、LuckyMouseはマルウェアを独自に作成できるにもかかわらず、一般に公開されているリポジトリのサンプルコードを利用し、カスタムマルウェアをつくっていることだ。独自のコード作成ではなく、第三者がすでに完成したコードを応用するので、開発の時間を節約し、攻撃者の特定が困難になる。
「GReAT」のセキュリティリサーチャーであるデニス・レゲゾ(DenisLegezo)氏は、次のように語っている。
「LuckyMouseが新たな攻撃を開始するのは、ほぼ必ずと言ってよいほど大規模な政治的イベントが控えているときで、攻撃のタイミングは世界の指導者が集まる会合の時です。このサイバー犯罪グループは、アトリビューションをそれほど気にはしていません。自分たちのプログラムに既存のコードサンプルを実装するようになったため、ドロッパーにもう一つレイヤーを追加するのも、マルウェアの改訂版を作成して追跡を逃れるのも、それほど時間をかけずに可能だからです」
「GReAT」は、2018年6月にもLuckyMouseが、ある国のデータセンターを攻撃し、国家レベルを対象とした水飲み場型攻撃を実施したと報告している。詳細は、Securelistブログ「LuckyMousehitsnationaldatacentertoorganizecountry-levelwaterholingcampaign」を確認のこと。
カスペルスキーの製品は、LuckyMouseのマルウェアを検知・ブロックする。
このようなサイバー犯罪組織による高度な攻撃から組織を守るために、次のことを推奨する。
・自社システムで実行しているコードを無条件に信用しない。デジタル証明書はバックドアが無いことを保証するものではない。
・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティソリューションを採用する。
・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを購読する。
LuckyMouseの詳細は、Securelistブログ「LuckyMousesignsmaliciousNDISProxydriverwithcertificateofChineseITcompany」を確認のこと。

□KasperskyLabとは?
IT上の脅威から世界を守る「SavetheWorldfromITthreats」をミッションに掲げるセキュリティソリューションベンダーである。設立は1997年で、ITセキュリティ市場のテクノロジーリーダーとして、大企業から個人ユーザーに、効果的なセキュリティソリューションを提供している。さらに、サイバー犯罪の撲滅を目標に、インターポールや世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っている。200の国で事業を展開しており、4億人のユーザーを抱えている。


【ニュース提供・エムトレ】



《US》

当コンテンツはFISCOから情報の提供を受けています。掲載情報の著作権は情報提供元に帰属します。記事の無断転載を禁じます。当コンテンツにおけるニュース、取引価格、データなどの情報はあくまでも利用者の個人使用のために提供されているものであって、商用目的のために提供されているものではありません。当コンテンツは、投資活動を勧誘又は誘引するものではなく、また当コンテンツを取引又は売買を行う際の意思決定の目的で使用することは適切ではありません。当コンテンツは投資助言となる投資、税金、法律等のいかなる助言も提供せず、また、特定の金融の個別銘柄、金融投資あるいは金融商品に関するいかなる勧告もしません。当コンテンツの使用は、資格のある投資専門家の投資助言に取って代わるものではありません。提供されたいかなる見解又は意見はFISCOの見解や分析であって、ロイターの見解、分析ではありません。情報内容には万全を期しておりますが、保証されるものではありませんので、万一この情報に基づいて被ったいかなる損害についても、弊社および情報提供元は一切の責任を負いません。

【FISCO】

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below