~ 偽のChatGPTアプリケーションをおとりにし、東南アジアから中東へ拡大 ~
[本リリースは、2024年10月9日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※のリサーチャーはこのたび、トロイの木馬「PipeMagic」を使用する悪意のある攻撃活動を新たに発見しました。このバックドア型マルウェアを使用した攻撃は、標的を東南アジアの企業から中東の企業へとその範囲を拡大しています。今回の手口は、偽のChatGPTアプリケーションをおとりとしてこのバックドアを仕込み、機密データを抜き取るとともに、侵害されたデバイスへのフルリモートアクセスを可能にします。PipeMagicはゲートウェイとしても機能するため、マルウェアを追加で展開したり、企業ネットワーク全体でさらなる攻撃を実行することも可能です。
GReATのリサーチャーが最初にバックドア型マルウェアのPipeMagicを発見したのは、2022年のことでした。インドネシアの企業を標的としたプラグインベースのトロイの木馬で、バックドアとしてもゲートウェイとしても機能します。その後、2024年9月にこのPipeMagicを使用した攻撃活動がサウジアラビアの企業を標的として再開したことを確認しました。
今回発見した手口では、プログラミング言語のRustで作成された偽のChatGPTアプリケーションが使われていました。これには、Rustで作られる多くのアプリケーションで使用されているRustライブラリがいくつか含まれており、一見すると正規のアプリケーションに見えます。ところが、実行すると空白の画面が表示され、画面上にはインターフェイスは何も見えませんが、悪意のあるペイロードである105,615バイト配列の暗号化データが隠れており、実行されます。
図:偽のChatGPTアプリケーションによって表示された空白の画面
第2段階では、この悪意のあるペイロードが名前付きハッシュアルゴリズムを用いて対応するメモリオフセットを検索し、Windows APIの主要な関数を探します。次に、メモリを割り当ててバックドアPipeMagicをロードし、必要な設定を調整してから実行します。
PipeMagicの特徴の一つは、16バイトのランダム配列を生成して、「\\.\pipe\1. <16進数文字列>」という形式の名前付きパイプを作成することです。このパイプを継続的に作成するスレッドを生成し、そこからデータを読み取り、その後、それを破棄します。このパイプは、暗号化されたペイロードや停止の信号をデフォルトのローカルインターフェイス経由で受信するために使用されます。PipeMagicは通常、指令(C2)サーバーからダウンロードされた複数のプラグインで動作しますが、今回、指令サーバーはMicrosoft Azureにホストされていました。
KasperskyのGReATでプリンシパルセキュリティリサーチャーを務めるセルゲイ・ロズキン(Sergey Lozhkin)は、次のようにコメントしています。「インドネシアからサウジアラビアへと拡大したPipeMagicを使用する攻撃の動きからも分かるように、サイバー犯罪者は、より利益が出る対象を狙い、また自分たちの存在を増大するべく常に戦略を進化させています。PipeMagicの機能を考えると、このバックドアを利用した攻撃は今後増えていくと予想します」
■ 既知または未知の攻撃者による標的型攻撃から企業や組織を保護するために、推奨する対策を紹介します。
・インターネットからソフトウェアをダウンロードする場合は、必ず企業やサービスの公式サイトからダウンロードするようにしてください。特にサードパーティのウェブサイトからダウンロードする場合は注意が必要です。
・SOCチームが最新の脅威インテリジェンスを利用できるようにしましょう。Kaspersky Threat
Intelligenceは、当社の脅威インテリジェンスの単一のアクセスポイントで、20年以上にわたって収集してきたサイバー攻撃に関するデータや知見が集約されています。
・最新の標的型脅威に対応できるよう、GReATのエキスパートが開発した専門家向けのオンライントレーニングを利用し、自社のサイバーセキュリティ担当チームのスキルアップを推奨します。
・エンドポイントレベルでインシデントを検知・調査し、迅速に修復できるよう、Kaspersky Endpoint
Detection and ResponseをはじめとしたEDRソリューションの導入が望ましいです。
・多くの標的型攻撃では、最初の段階でフィッシングやソーシャルエンジニアリング手法が使用されることから、Kaspersky Automated
Security Awareness Platformなど、社員のセキュリティ意識を向上するためのトレーニングを導入し、実践的なスキルの習得を推奨します。
※ グローバル調査分析チーム(Global Research and
Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。