ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

eScanアンチウイルス更新悪用、北朝鮮関連の新マルウェアキャンペーン発覚

eScanアンチウイルス更新悪用、北朝鮮関連の新マルウェアキャンペーン発覚 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-08 07:13 by 門倉 朋宏

eScanアンチウイルスの更新メカニズムが悪用され、バックドアや暗号通貨マイナー(XMRigなど)が拡散されている新たなマルウェアキャンペーンが発覚した。この攻撃は、GuptiMinerと呼ばれる長期にわたる脅威を通じて、大企業のネットワークを標的にしている。サイバーセキュリティ企業Avastによると、この活動は北朝鮮のハッキンググループであるKimsuky(Black Banshee、Emerald Sleet、TA427としても知られる)との関連が疑われる脅威アクターによるものである。

GuptiMinerは、攻撃者のDNSサーバーへのDNSリクエストの実行、サイドローディング、無害に見える画像からのペイロードの抽出、カスタム信頼されたルートアンカー認証局でのペイロードの署名など、複数の技術を使用する高度な脅威である。この複雑な感染チェーンは、インドのアンチウイルスベンダーであるeScanの更新メカニズムのセキュリティ上の短所を利用して、敵対者イン・ザ・ミドル(AitM)攻撃によってマルウェアを拡散する。

この問題は少なくとも5年間気付かれずにいたが、2023年7月31日に修正された。eScanソフトウェアによって実行される不正なDLL(”updll62.dlz”)は、DLL(”version.dll”)をサイドロードして、PNGファイルローダーを起動する多段階シーケンスを開始する。このPNGファイルは、コマンドアンドコントロール(C2)サーバーからPNGファイルを取得するために悪意のあるDNSサーバーを使用して解析され、その後、Gzipローダーを使用して別のシェルコードを解凍し実行する。

最終的に、第三段階のマルウェアであるPuppeteerが、感染したシステムにXMRig暗号通貨マイナーとバックドアを展開する。Avastは、横断移動を可能にし、脅威アクターからのコマンドを受け入れ、必要に応じて追加のコンポーネントを配信する機能を備えた2種類のバックドアを確認した。

GuptiMinerは2018年以降に活動しており、反VMおよび反デバッグのトリック、コードの仮想化、システムシャットダウンイベント中のPNGローダーのドロップ、Windowsレジストリ内のペイロードの保存、Windowsの証明書ストアへのルート証明書の追加など、さまざまな技術を使用している。Kimuskyとのリンクは、GuptiMinerによって配布されていない情報窃取プログラムから来ており、このグループによって使用されていたキーロガーとの重複がある。キャンペーンの対象は現在明らかではないが、GuptiMinerのアーティファクトは2018年4月以降、インドとドイツからVirusTotalにアップロードされている。

【ニュース解説】

eScanアンチウイルスの更新メカニズムが悪用され、バックドアや暗号通貨マイナーが拡散される新たなマルウェアキャンペーンが発覚しました。この攻撃は、GuptiMinerと呼ばれる脅威を通じて、特に大企業のネットワークを標的にしています。この活動の背後には、北朝鮮のハッキンググループであるKimsukyとの関連が疑われています。

GuptiMinerは、非常に高度な技術を駆使しており、攻撃者のDNSサーバーへのリクエスト実行、サイドローディング、画像からのペイロード抽出、ペイロードの署名など、複数の手法を組み合わせています。この攻撃は、eScanの更新メカニズムのセキュリティ上の弱点を利用し、敵対者イン・ザ・ミドル(AitM)攻撃を通じてマルウェアを拡散します。このセキュリティの短所は、ダウンロードがHTTPSを使用して署名および保護されていないことから、悪意のあるパッケージファイルに置き換えられることにありました。この問題は2023年7月31日に修正されました。

この攻撃の影響は、主に大企業のネットワークに及びますが、その影響はそれに留まりません。感染したシステムには、XMRig暗号通貨マイナーやバックドアが展開され、攻撃者はこれらのシステムを通じてさらなる悪意のある活動を行うことが可能になります。特に、バックドアを通じての横断移動や追加コンポーネントの配信は、企業ネットワーク内での攻撃の拡大を意味します。

このキャンペーンのポジティブな側面を見出すことは難しいですが、セキュリティコミュニティにとっての教訓は大きいです。特に、ソフトウェアの更新メカニズムのセキュリティを強化することの重要性が浮き彫りになりました。また、この事件は、企業が自社のセキュリティ対策を再評価し、特に外部からのソフトウェア更新を扱う際のセキュリティプロトコルを見直すきっかけとなるでしょう。

長期的な視点で見ると、この種の攻撃は、サイバーセキュリティの規制や基準を強化する動きを加速させる可能性があります。特に、ソフトウェアベンダーに対して、更新プロセスのセキュリティを確保するための厳格なガイドラインを設けることが求められるかもしれません。また、企業は自社のセキュリティ対策を強化し、特に重要なインフラストラクチャを保護するために、より積極的な監視と防御策を講じる必要があるでしょう。

from eScan Antivirus Update Mechanism Exploited to Spread Backdoors and Miners.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…