カスペルスキー、サイバー犯罪組織が、盗んだ正規のデジタル証明書でマルウェアに署名し、攻撃に利用していることを確認
- 2018/09/20 11:00
- SecurityInsight
カスペルスキーは9月18日、Kaspersky Labのグローバル調査分析チーム(GReAT)が、サイバー犯罪組織「LuckyMouse」(別名APT27)が関与しているとみられる、未知のトロイの木馬を利用した複数の感染を確認したと発表した。
このマルウェアの注目すべき点は、情報セキュリティ関連のソフトウェア開発企業が発行した正規のデジタル証明書で署名された、ネットワーク用のフィルタードライバー(NDIS Proxy)を含んでいたこと。このマルウェアは、背後に国家が存在するサイバースパイ活動に使われているとKaspersky Labでは見ているという。
サイバー犯罪組織「LuckyMouse」は、中国語話者が関与しているとみられており、世界中の大規模な組織を対象とする高度な標的型サイバー攻撃で知られている。活動の範囲は東南アジアや中央アジアを中心に全地域に拡大しつつあり、その攻撃には政治的意図があると考えられている。GReATのリサーチャーは、標的のプロフィールやLuckyMouseがこれまでに使用した攻撃方法から判断して、今回発見したトロイの木馬は、背後に国家が存在するサイバースパイ活動に使われていると見ている。
このトロイの木馬は、LuckyMouseが作成したネットワーク用のフィルタードライバー(NDIS Proxy)を通して標的のコンピューターに感染し、攻撃者によってコマンドの実行、ファイルのダウンロードとアップロードなどのさまざまなタスクの実行や、ネットワークの悪用などが可能となっていた。
このマルウェアで最も注目すべき点は、機能の一つであるネットワーク用のフィルタードライバー。このドライバーの信用度を上げるため、攻撃者は情報セキュリティ関連のソフトウェア開発企業の正規のデジタル証明書を盗用し、署名していた。
もう一つは、LuckyMouseはマルウェアを独自に作成する能力があるにもかかわらず、一般に公開されているリポジトリのサンプルコードを利用して、カスタムマルウェアを作成していたこと。独自のコードを作成するのではなく、すでに第三者によって完成されたコードを応用すれば、開発にかかる時間が節約できるうえ、攻撃者の特定も困難になる。
GReATは、2018年6月にもLuckyMouseがある国のデータセンターを攻撃し、国家レベルを対象とした水飲み場型攻撃を実施していたことを報告している。