先週、数時間で40万台以上のWindows PCに感染しようとしたマルウェア「Dofoil」の攻撃が確認された。この攻撃を検知したMicrosoftの「Windows Defender Research」チームが明らかにした詳細によると、この拡散の原因は1台のアップデートサーバへの攻撃だった。それにより、「MediaGet」という「BitTorrent」クライアントが、それとほぼ同じだがバックドアのあるプログラムに置き換えられていた。
この大規模な攻撃は、主にロシアやトルコ、ウクライナのPCを標的として、仮想通貨採掘プログラムを拡散させようとした。Microsoftはこの攻撃を「MediaGetアップデートポイズニング(MediaGet update poisoning)」と呼んで説明している。
Microsoftは、MediaGetを「潜在的に望ましくないアプリケーション」として扱っているが、今回のケースでは、ロシアで開発されたこのBitTorrentクライアントが攻撃に用いられた。
Windows Defenderの研究者が指摘しているように、このような攻撃ベクターを利用すればランサムウェアを同じくらい容易に拡散できるため、Dofoilの大発生は優先して対処すべき事案だった。
ファイル共有アプリはマルウェアの拡散に利用されているが、Microsoftの研究者は、今回の大発生がトレントを使ってダウンロードしたファイルによるものではなく、他のファイル共有アプリのパターンと似ていないことに気づいた。マルウェアは、「mediaget.exe」というプロセスによってもたらされていた。
Microsoftによると、「入念に計画された攻撃」は2月中旬に実行され、約2週間後にマルウェアが配布されたという。
「マルウェア拡散をお膳立てするため、攻撃者は、トロイの木馬化したMediaGetをコンピュータにインストールするアップデートポイズニング攻撃を実行した」とWindows Defender Researchチームは述べている。
攻撃の仕組みはこうだ。MediaGetのアップデートサーバの署名付きmediaget.exeが、「update.exe」というプログラムをダウンロードする。このプログラムは署名付きmediaget.exeに似た動作をするが、バックドアのある署名なしのmediaget.exeをインストールする。
Microsoftは、update.exeに署名したサードパーティ企業も被害者だろうと考えている。
トロイの木馬化されたmediaget.exeファイルは、正規のMediaGetバイナリと98%同じだ。検知を避けるため、正当なexplorer.exeプロセスで「プロセスハロウイング(Process Hollowing)」を行ってマルウェアを投入する。
この攻撃がMicrosoftの目を引いたのは、攻撃の下準備に注ぎ込まれた労力と、感染の隠蔽や維持に利用された高度なテクニックのせいだったとみられる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
