カスペルスキー、未知のAPTの調査中に新たなマルウェアを発見 〜「Sunburst」攻撃者による新たな活動に関連している可能性
- 2021/10/06 10:00
- SecurityInsight
カスペルスキーは10月5日、自社のグローバル調査分析チーム(GReAT)が、未知のAPT(高度サイバー攻撃)の調査中に新たなマルウェアを発見したと発表した。その概要は以下のとおり。
新たに発見したマルウェアには、既知のバックドア「Sunburst」を使用した攻撃活動を行ったとされる「DarkHalo」と関連する可能性がある特徴的な部分が幾つかあった。Sunburstを使用した攻撃は、近年のサプライチェーン攻撃の中でも、最も影響の大きいセキュリティインシデントの一つと見なされている。GReATのリサーチャーはこのバックドアを「Tomiris」と名付けた。
2020年12月のSunburstを使用した攻撃以来、DarkHaloの関与が考えられる大きなインシデントはなく、DarkHaloによるAPT活動は停止したように見えた。しかし、GReATの最近の調査結果では、活動は停止していない可能性がある。
2021年6月、GReATのリサーチャーは、ある国の複数の政府機関に対するDNSハイジャック攻撃の痕跡を発見した。ある一定期間、攻撃の対象者が利用する正規メールサービスのWebインターフェイスが、偽のWebインターフェイスにリダイレクトされ、ログイン時に悪意のあるソフトウェアアップデートをダウンロードするよう仕向けられていた。リサーチャーはその「ソフトウェアアップデート」を取得し、未知のバックドア「Tomiris」を発見した。
分析を進めたところ、このバックドアの主な目的は、攻撃したシステムに足場を築いた後、ほかの悪意のあるコンポーネントをダウンロードするものと判明。後者については、調査では特定できなかったものの、Tomirisバックドアが、Sunburst攻撃の第2段階で用いられる「Sunshuttle」バックドアに酷似しているという重要な事実を確認した。