サイバー犯罪組織「LuckyMouse」が盗んだ正規のデジタル証明書でマルウェアに署名し、攻撃に利用していることを確認

経済
2018年9月21日 15時25分

KasperskyLabのグローバル調査分析チーム「GReAT」(GlobalResearchandAnalysisTeam)は、サイバー犯罪組織「LuckyMouse」(別名APT27)が関与していると思われる、未知のトロイの木馬を利用した複数の感染を確認した。

このマルウェアの注目すべきところは、情報セキュリティ関連のソフトウェア開発企業が発行した正規のデジタル証明書で署名された、ネットワーク用のフィルタードライバー(NDISProxy)を含んでいたことである。このマルウェアは、背後に国家が存在するサイバースパイ活動に使われていると、KasperskyLabはみている。

サイバー犯罪組織LuckyMouseは、中国語話者の関与が疑われており、世界中の大規模な組織を対象とする高度な標的型サイバー攻撃を行うことで有名だ。活動範囲は、東南アジアや中央アジアが中心だが、今や全地域に広がりつつあり、その攻撃には政治的意図が含まれていると考えられる。

「GReAT」のリサーチャーは、標的のプロフィールやLuckyMouseが行ってきた撃方法から判断して、今回発見したトロイの木馬は、背後に国家が存在するサイバースパイ活動に使われているとみている。

このトロイの木馬は、LuckyMouseが作成したネットワーク用のフィルタードライバー(NDISProxy)を介して、標的のコンピュータに感染し、攻撃者によってコマンドの実行、ファイルのダウンロードとアップロードといったタスクの実行や、ネットワークを悪用できる。

このマルウェアで注目すべきことは、機能の一つであるネットワーク用のフィルタードライバーだ。このドライバーの信用度を上げるため、攻撃者は情報セキュリティ関連のソフトウェア開発企業の正規のデジタル証明書を盗用し、署名していた。その目的は、正規のソフトウェアに見せかけて、セキュリティソリューションの検知を回避することにある。

もう一つ特筆すべきことは、LuckyMouseはマルウェアを独自に作成できるにもかかわらず、一般に公開されているリポジトリのサンプルコードを利用し、カスタムマルウェアをつくっていることだ。独自のコード作成ではなく、第三者がすでに完成したコードを応用するので、開発の時間を節約し、攻撃者の特定が困難になる。

「GReAT」のセキュリティリサーチャーであるデニス・レゲゾ(DenisLegezo)氏は、次のように語っている。

「LuckyMouseが新たな攻撃を開始するのは、ほぼ必ずと言ってよいほど大規模な政治的イベントが控えているときで、攻撃のタイミングは世界の指導者が集まる会合の時です。このサイバー犯罪グループは、アトリビューションをそれほど気にはしていません。自分たちのプログラムに既存のコードサンプルを実装するようになったため、ドロッパーにもう一つレイヤーを追加するのも、マルウェアの改訂版を作成して追跡を逃れるのも、それほど時間をかけずに可能だからです」

「GReAT」は、2018年6月にもLuckyMouseが、ある国のデータセンターを攻撃し、国家レベルを対象とした水飲み場型攻撃を実施したと報告している。詳細は、Securelistブログ「LuckyMousehitsnationaldatacentertoorganizecountry-levelwaterholingcampaign」を確認のこと。

カスペルスキーの製品は、LuckyMouseのマルウェアを検知・ブロックする。

このようなサイバー犯罪組織による高度な攻撃から組織を守るために、次のことを推奨する。

・自社システムで実行しているコードを無条件に信用しない。デジタル証明書はバックドアが無いことを保証するものではない。

・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティソリューションを採用する。

・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを購読する。

LuckyMouseの詳細は、Securelistブログ「LuckyMousesignsmaliciousNDISProxydriverwithcertificateofChineseITcompany」を確認のこと。

□KasperskyLabとは?

IT上の脅威から世界を守る「SavetheWorldfromITthreats」をミッションに掲げるセキュリティソリューションベンダーである。設立は1997年で、ITセキュリティ市場のテクノロジーリーダーとして、大企業から個人ユーザーに、効果的なセキュリティソリューションを提供している。さらに、サイバー犯罪の撲滅を目標に、インターポールや世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っている。200の国で事業を展開しており、4億人のユーザーを抱えている。

【ニュース提供・エムトレ】

《US》

提供:フィスコ

関連記事

人気ニュースアクセスランキング 直近8時間

人気ニュースベスト30を見る

特集記事

株探からのお知らせ

過去のお知らせを見る
米国株へ
プレミアム会員登録
すでに会員の方はログイン
株探プレミアムとは
PC版を表示
【当サイトで提供する情報について】
当サイト「株探(かぶたん)」で提供する情報は投資勧誘または投資に関する助言をすることを目的としておりません。
投資の決定は、ご自身の判断でなされますようお願いいたします。
当サイトにおけるデータは、東京証券取引所、大阪取引所、名古屋証券取引所、JPX総研、ジャパンネクスト証券、China Investment Information Services、CME Group Inc. 等からの情報の提供を受けております。
日経平均株価の著作権は日本経済新聞社に帰属します。
株探に掲載される株価チャートは、その銘柄の過去の株価推移を確認する用途で掲載しているものであり、その銘柄の将来の価値の動向を示唆あるいは保証するものではなく、また、売買を推奨するものではありません。
決算を扱う記事における「サプライズ決算」とは、決算情報として注目に値するかという観点から、発表された決算のサプライズ度(当該会社の本決算か各四半期であるか、業績予想の修正か配当予想の修正であるか、及びそこで発表された決算結果ならびに当該会社が過去に公表した業績予想・配当予想との比較及び過去の決算との比較を数値化し判定)が高い銘柄であり、また「サプライズ順」はサプライズ度に基づいた順番で決算情報を掲載しているものであり、記事に掲載されている各銘柄の将来の価値の動向を示唆あるいは保証するものではなく、また、売買を推奨するものではありません。
(C) MINKABU THE INFONOID, Inc.