“Gluptebaマルウェア、UEFIブートキットでWindows永続化”

Last Updated on 2024-09-13 08:04 by 門倉 朋宏

Gluptebaマルウェアは、Windowsシステム内での永続性を高めるために、Unified Extensible Firmware Interface (UEFI) ブートキットを新たに採用しました。このブートキットは、オペレーティングシステムがロードされるプロセスを操作することで、再起動後もWindowsシステム内に潜伏し続けることを可能にします。Gluptebaは、バックドア、情報窃取ツール、ローダー、クリプトマイナー、マルバタイザー、ボットネットの機能を組み合わせたマルウェアであり、Bitcoinブロックチェーンをバックアップのコマンドアンドコントロール（C2）システムとして使用するなど、特別な機能も備えています。

Palo Alto NetworksのUnit 42が昨年11月に観測したキャンペーンでは、GluptebaはWindowsマシンが起動する前に実行を開始することを保証するブートローダーインプラントを装備していました。このブートキットは、EFIシステムパーティション（ESP）にインプラントを含み、ドライバー署名の強制とPatchGuard（カーネルへの変更を防ぐWindows機能）を無効にすることで、Gluptebaが特権空間でコードを実行し、Windowsが起動する前に操作できるようにします。

このようなブートキットは、これまでに野生で発見されたものはほんの数例です。GluptebaのUEFIブートローダーは、対象となる組織にとって深刻な脅威をもたらし、永続的な感染、不正アクセス、ファームウェアの制御、データ損失、運用の中断などのリスクを引き起こす可能性があります。Palo Alto Networksによると、対象のマシンのアーキテクチャ、OSバージョン、設定に応じて、DSEFix、UPGDSED、EfiGuardのいずれかが必要になる場合がありますが、これらはWindowsのSecure Boot機能をバイパスすることはできません。

Gluptebaは、2010年代初頭に単純なバックドアとして始まり、クレジットカードデータや様々なソフトウェアからの認証情報の窃取、デジタル広告詐欺、暗号通貨のハイジャックとマイニング、ルーターへのリモート管理アクセス、追加機能を持つペイロードのダウンロードなど、多岐にわたるボットネットへと進化しました。Googleは従来の手段では止められないほど大きくなったGluptebaに対し、訴訟を起こすほどでした。

【ニュース解説】

Gluptebaマルウェアが、Windowsシステム内での永続性を高めるために、UEFIブートキットを新たに採用したことが報告されました。この技術により、再起動後も潜伏を続けることが可能になります。Gluptebaは、多機能を持つマルウェアであり、特にBitcoinブロックチェーンを利用したバックアップのコマンドアンドコントロールシステムや、Windowsカーネルドライバーを隠す能力など、特別な機能を有しています。

このブートキットは、EFIシステムパーティションにインプラントを含み、Windowsが起動する前にGluptebaがコードを実行できるようにすることで、ドライバー署名の強制とPatchGuardを無効にします。これにより、感染したWindowsマシンにおいて、Gluptebaの検出と除去が一層困難になります。

この技術の採用は、組織にとって深刻な脅威をもたらします。永続的な感染や不正アクセス、ファームウェアの制御、データ損失、運用の中断など、多岐にわたるリスクが考えられます。特に、一度インストールされると発見や対処が非常に困難であり、最悪の場合、ハードウェアコンポーネントを操作され、長期的な損害を受ける可能性もあります。

Gluptebaは、その多機能性と拡散力により、世界中で100万台以上のWindowsデバイスを感染させています。Googleが訴訟を起こすほどの影響力を持ち、その後も復活を遂げています。このマルウェアの拡散は、ダークウェブ上でのペイ・パー・インストール市場を通じて行われており、世界中の様々な業界や地域に影響を及ぼしています。

このような高度な脅威に対抗するためには、最新のセキュリティ製品の使用や、複数層にわたるセキュリティ対策の実施が重要です。組織は、セキュリティの衛生状態を保ち、常に警戒を怠らないことが求められます。また、この事例は、マルウェアの進化に対する理解を深め、適切な対策を講じることの重要性を示しています。

from Glupteba Botnet Adds UEFI Bootkit to Cyberattack Toolbox.