このマルウェアは、情報セキュリティ関連のソフトウェア開発企業が発行した正規のデジタル証明書で署名された、ネットワーク用のフィルタードライバー(NDIS Proxy)を含んでいました。リサーチャーは、標的のプロフィールやLuckyMouseがこれまでに使用した攻撃方法から判断して、マルウェアが背後に国家が存在するサイバースパイ活動に使われているとみています。
[本リリースは、2018年9月10日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labのグローバル調査分析チーム(GReAT)※は、サイバー犯罪組織「LuckyMouse」(別名APT27)が関与しているとみられる、未知のトロイの木馬を利用した複数の感染を確認しました。このマルウェアの注目すべき点は、情報セキュリティ関連のソフトウェア開発企業が発行した正規のデジタル証明書で署名された、ネットワーク用のフィルタードライバー(NDIS Proxy)を含んでいたことです。このマルウェアは、背後に国家が存在するサイバースパイ活動に使われているとみています。
サイバー犯罪組織LuckyMouseは、中国語話者が関与しているとみられており、世界中の大規模な組織を対象とする高度な標的型サイバー攻撃で知られています。活動の範囲は東南アジアや中央アジアを中心に全地域に拡大しつつあり、その攻撃には政治的意図があると考えられています。GReATのリサーチャーは、標的のプロフィールやLuckyMouseがこれまでに使用した攻撃方法から判断して、今回発見したトロイの木馬は、背後に国家が存在するサイバースパイ活動に使われているとみています。
このトロイの木馬は、LuckyMouseが作成したネットワーク用のフィルタードライバー(NDIS Proxy)を通して標的のコンピューターに感染し、攻撃者によってコマンドの実行、ファイルのダウンロードとアップロードなどのさまざまなタスクの実行や、ネットワークの悪用などが可能となっていました。
このマルウェアで最も注目すべき点は、機能の一つであるネットワーク用のフィルタードライバーです。このドライバーの信用度を上げるため、攻撃者は情報セキュリティ関連のソフトウェア開発企業の正規のデジタル証明書を盗用し、署名していました。その目的は、正規のソフトウェアに見せかけ、セキュリティソリューションによる検知を回避することです。
もう一つ特筆すべき点は、 LuckyMouseはマルウェアを独自に作成する能力があるにもかかわらず、一般に公開されているリポジトリのサンプルコードを利用して、カスタムマルウェアを作成していたことです。独自のコードを作成するのではなく、すでに第三者によって完成されたコードを応用すれば、開発にかかる時間が節約できるうえ、攻撃者の特定も困難になります。
Kaspersky Lab、GReATのセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)は次のように述べています。「LuckyMouseが新たな攻撃を開始するのは、ほぼ必ずと言ってよいほど大規模な政治的イベントが控えているときで、攻撃のタイミングは世界の指導者が集まる会合の時です。このサイバー犯罪グループは、アトリビューションをそれほど気にはしていません。自分たちのプログラムに既存のコードサンプルを実装するようになったため、ドロッパーにもう一つレイヤーを追加するのも、マルウェアの改訂版を作成して追跡を逃れるのも、それほど時間をかけずに可能だからです」
GReATは2018年6月にもLuckyMouseが、ある国のデータセンターを攻撃し、国家レベルを対象とした水飲み場型攻撃を実施していたことを報告しています。
カスペルスキー製品は、LuckyMouseのマルウェアを検知・ブロックします。
■ このようなサイバー犯罪組織による高度な攻撃から組織を守るために、次のことを推奨します。
・自社システムで実行しているコードを無条件に信用しない。デジタル証明書はバックドアが無いことを保証するものではない。
・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティソリューションを採用する。
・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを購読する。
■ LuckyMouseについて詳しくは、Securelistブログ「LuckyMouse signs malicious NDISProxy driver with certificate of Chinese IT company」(英語)をご覧ください。
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。