カスペルスキー、マルウェア「WinDealer」の拡散に、極めて高度な「man-on-the-side」攻撃が用いられていることを発見
- 2022/06/10 10:00
- SecurityInsight
カスペルスキーは6月8日、同社のグローバル調査分析チーム(GReAT)が、既知のマルウェア「WinDealer」が「man-on-the-side」攻撃によって配信されていることを発見したと発表した。発表の概要は以下のとおり。
このマルウェアは中国語話者のAPT(高度サイバー攻撃)グループ「LuoYu」によって使用されており、主に情報を窃取する機能を持っている。man-on-the-side攻撃は非常に高度で、使用できる条件は厳しい一方で、成功した場合は被害規模が甚大になる可能性がある。
man-on-the-side攻撃はネットワーク上のトラフィックを読み取り、データを挿入するというもので、標的デバイスからの通信リクエストを見つけ出し、正規のサーバーよりも先にその標的デバイスへ応答を試みる。成功した場合、標的デバイスが受けるのは本来のデータではなく、攻撃者が提供したデータになる。
標的デバイスがWinDealerに感染後は、膨大な量の情報を収集できるWinDealerのスパイウェアモジュールがロードされる。攻撃者はWinDealerおよびそのモジュールを通して、デバイスに保存された任意のファイルを確認およびダウンロードすることができる。WinDealerは、現時点ではWindowsデバイスに感染することが確認されている。
man-on-the-side攻撃に対してユーザーが取れる防御策としてはVPN経由での通信が考えられるが、使用できない地域もあり、通常、中国国内でVPNは利用できない。
APT攻撃グループLuoYuの標的は、ほとんどが中国国内にあるため、GReATのリサーチャーは、主な標的は中国語話者および中国関連組織であるとみている。また、ドイツ、オーストリア、米国、チェコ、ロシア、インドほかでも攻撃を観測している。ここ数カ月は、LuoYuが東アジアの企業やユーザー、および中国に支店を持つ企業にも対象範囲を広げ始めている。