新しい「Waterbear」キャンペーンが、台湾の政府機関を狙って高度な攻撃を仕掛けているのを発見したとCyCraftの研究者が報告している。
研究者によると、攻撃が実行されたのは2020年4月だ。興味深いのは、犯罪グループが過去に攻撃を受けて侵害されたサーバーに残っていたマルウェアを使って、今回のマルウェアを展開した点だ。
Waterbearはこれまで、高度なサイバー攻撃集団BlackTechと関連があるとされていた。台湾、日本、香港などのテクノロジー企業や政府機関を対象に攻撃を仕掛けているとみられる。
トレンドマイクロの研究者によると、このモジュール型マルウェアは主として、「水平移動に使用され、ローダーコンポーネントを用いて、ペイロードの復号と実行を行っている」。Waterbearは2019年に、「APIフック」の手法により、セキュリティ製品から自身の動作を隠蔽していることで、サイバーセキュリティ業界の関心を集めた。
最新の攻撃では、Waterbearを仕掛けるために、一般的な信頼されているデータ漏えい防止(DLP)ツールの脆弱性が悪用されたとCyCraftは説明している。過去に攻撃された後、完全に除去されずに残っていたマルウェアがあったことで、この作業をより簡単に行えたという。
CyCraftは、盗んだ認証情報を使い、ネットワークへの侵入を試みている攻撃者を追跡した。いくつかの例では、過去の攻撃で侵害されたままになっていたエンドポイントを悪用し、被害者の内部ネットワークにアクセスして、グループのコマンド&コントロール(C2)サーバーと密かに接続を確立していたという。
その後、DLPツールの脆弱性を悪用して、DLLハイジャックを実行する。ソフトウェアはロードしたDLLの完全性の検証に失敗し、悪意のあるファイルが高レベルの権限で起動された。
このDLLはその後、シェルコードをさまざまな「Windows」システムのサービスに挿入し、Waterbearローダーが悪意のあるパッケージをさらに展開できるようにした。
研究者らによると、このローダーのもう一つの興味深い点は、10年前に使われていたウイルス検出回避のための手法が「復活」していることだという。
「Heaven's Gate」として知られるこの手口は、Windowsオペレーティングシステムを欺き、32ビットプロセスから64ビットコードを実行させる。これによりセキュリティエンジンを迂回して、シェルコードを挿入できる。
「64ビットと32ビットのプログラムが全く違うように、解析メカニズムも大きく異なる。Heaven's Gateを搭載したマルウェアは、64ビットと32ビットの両方の部分が含まれている。このため一部のモニター/解析システムは、32ビット向けの解析だけを適用して、64ビットの部分は見逃してしまう。そうして、このアプローチは一部の監視、解析メカニズムを破る」(CyCraft)
CyCraftのチームは8月、オンラインで開催された「Black Hat USA」の参加者に、中国のAPT(Advanced Persistent Threat)攻撃グループが台湾のチップメーカーを攻撃していることを明らかにした。
CyCraftによると、2018〜2019年にかけて、半導体設計、ソースコード、ソフトウェア開発キット(SDK)といった企業の機密情報や資産を盗む目的で、「正確かつ非常に組織的な攻撃」が仕掛けられた。少なくともベンダー7社が、このグループの被害に遭っているという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。