Kasperskyが新たに発見したバックドア「Tomiris」が、「Sunburst」攻撃者による新たな活動に関連している可能性
PR TIMES / 2021年10月5日 13時0分
[本リリースは、2021年9月29日にKasperskyが発表したプレスリリースに基づき作成したものです]
---【概要】---
Kasperskyのグローバル調査分析チーム(GReAT※)はこのたび、未知のAPT(高度サイバー攻撃)の調査中に新たなマルウェアを発見しました。そのマルウェアには、既知のバックドア「Sunburst」を使用した攻撃活動を行ったとされる「DarkHalo」と関連する可能性がある特徴的な部分が幾つかありました。Sunburstを使用した攻撃は、近年のサプライチェーン攻撃の中でも、最も影響の大きいセキュリティインシデントの一つと見なされています。GReATのリサーチャーはこのバックドアを「Tomiris」と名付けました。
-------------
2020年12月、バックドア「Sunburst」を使用したセキュリティインシデントは大きな話題となりました。「DarkHalo」と呼ばれる攻撃活動グループは、広く使用されている企業向けのソフトウェアプロバイダーに不正アクセスし、長期間そのインフラストラクチャを利用して正規のソフトウェアアップデートに偽装したスパイウェアを配布していました。この件は大々的に報じられ、セキュリティコミュニティでも大規模な調査が行われましたが、攻撃者は雲隠れしたように思われました。Sunburstを使用した攻撃以来、DarkHaloの関与が考えられる大きなインシデントは無く、DarkHaloによるAPT活動は停止したように見えました。しかしながら、GReATの最近の調査結果では、活動は停止していない可能性があります。
[画像1: https://prtimes.jp/i/11471/265/resize/d11471-265-6ccf58f123846bc0d37b-0.png ]
図1:「Sunburst」キャンペーンのタイムライン
2021年6月、DarkHaloが活動を停止したかのように見えてから6カ月後、GReATのリサーチャーは、ある国の複数の政府機関に対するDNSハイジャック攻撃の痕跡を発見しました。ある一定期間、攻撃の対象者が利用する正規メールサービスのWebインターフェイスが、偽のWebインターフェイスにリダイレクトされ、ログイン時に悪意のあるソフトウェアアップデートをダウンロードするよう仕向けられていました。リサーチャーはその「ソフトウェアアップデート」を取得し、未知のバックドア「Tomiris」を発見しました。
[画像2: https://prtimes.jp/i/11471/265/resize/d11471-265-55d58fe9b95fbb411d85-1.png ]
図2:攻撃者が用意した正規メールサービスの偽Webログイン画面
分析を進めたところ、このバックドアの主な目的は、攻撃したシステムに足場を築いた後、ほかの悪意のあるコンポーネントをダウンロードするものと判明しました。後者については、残念ながら調査では特定できなかったものの、Tomirisバックドアが、Sunburst攻撃の第2段階で用いられる「Sunshuttle」バックドアに酷似しているという重要な事実を確認しました。
以下にSunshuttleとTomirisの類似点の一部を挙げます。
・Sunshuttleと同様に、Tomirisはプログラミング言語「Go」で開発されていました
・どちらも単一の暗号化/難読化スキームを用いて、構成とネットワークトラフィックの暗号化を行います
・どちらも永続化のためにスケジュールされたタスクを利用しているほか、活動を隠ぺいするためにランダム化やスリープによる遅延を用います
・この二つのプログラムの全般的なワークフローは酷似しており、共通の開発手法を用いている可能性があります
・それぞれ、英語に間違いがあります。例えば、Tomiris内の文字列(‘isRunned’)、Sunshuttle内の文字列(‘executed’ではなく‘EXECED’)。これは、英語を母国語としない話者によって作成されたことを示唆しています。DarkHalo攻撃活動グループは、ロシア語話者であることは広く知られています
・ Tomirisバックドアが見つかったネットワークには、Kazuarバックドアに感染したマシンが存在していました。KazuarはSunburstとコードの重複があることで知られています
Kaspersky GReATのセキュリティリサーチャー、ピエール・デルシ(Pierre Delcher) は、次のように述べています。「TomirisとSunshuttleが間違いなくつながっていると断定するには、まだ証拠が不十分です。それでも、包括的に考えると、少なくとも作成者が同じか開発手法を共有している可能性があると感じています」
同セキュリティリサーチャー、イワン・クフィアトコフスキ(Ivan Kwiatkowski)は、次のように加えています。「TomirisとSunshuttleが関連しているという我々の推測が正しければ、犯行が見つかった後に攻撃者がその能力を再構築する方法について、新たな光を当てることとなるでしょう。脅威インテリジェンスのコミュニティには、この調査を再現して、SunshuttleとTomirisの間に見つかった類似性についてのセカンドオピニオンを提供していただきたいと考えています」
・TomirisとSunburstの攻撃に関する調査結果は、Securelistブログ「DarkHalo after SolarWinds : the Tomiris connection」(英語)でご覧いただけます。
https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/
・2021年1月12日に発表済みのプレスリリース「Kaspersky、SolarWinds製品を悪用した攻撃と『Kazuar』バックドアに関連性を発見」はこちらをご覧ください。
https://www.kaspersky.co.jp/about/press-releases/2021_vir12012021
※ グローバル調査分析チーム:Global Research and Analysis Team(GReAT)、グレート
GReATはKasperskyの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像3: https://prtimes.jp/i/11471/265/resize/d11471-265-7ca204a0c658178aa180-2.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開
PR TIMES / 2024年9月18日 16時45分
-
Kaspersky、台頭するランサムウェア「Mallox」を調査:独自運用から「サービスとしてのランサムウェア」へ変化
PR TIMES / 2024年9月11日 15時40分
-
ハクティビスト、WinRARの脆弱性を突いたサイバー攻撃実施
マイナビニュース / 2024年9月5日 10時46分
-
<Kasperskyサイバー脅威レポート: 2024年第2四半期は、脆弱性を持つドライバーを使用しWindowsを狙う攻撃が23%増加したことを確認>
PR TIMES / 2024年8月30日 16時40分
-
シスコのスイッチ狙う中国の脅威グループ、メモリからマルウェア再構築
マイナビニュース / 2024年8月25日 11時21分
ランキング
-
1有料会員100万人「radiko」のビジネス的伸びしろ 広告ビジネスと新規ビジネスの尖兵として
東洋経済オンライン / 2024年9月23日 10時30分
-
2なぜ、「パン屋さん」みたいなセブンが増えているのか できたてのカレーパン、ドーナツ、メロンパンを強化する背景
ITmedia ビジネスオンライン / 2024年9月23日 6時15分
-
3「タワマン節税」「空き家問題」2つの不動産相続ルール変更で何が変わる?マンションや古い物件の活用方法は?
TBS NEWS DIG Powered by JNN / 2024年9月22日 8時0分
-
4「今買わないと後悔しますよ」 客を萎えさせる「店員の声かけ」はこれだ
ITmedia ビジネスオンライン / 2024年9月22日 8時5分
-
5出戻り社員「アルムナイ採用」が増えた切実な事情 かつては"裏切り者扱い"も今や大歓迎だが…
東洋経済オンライン / 2024年9月23日 11時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください