中国政府と結びつきがあるハッキンググループが作成した、ステルス性の高いバックドア型マルウェアが発見された。このマルウェアは、複数の国の重要インフラを標的として使用されていた。
Symantecの研究者が「Daxin」と名付けたこのマルウェアは、バックドア型の「ルートキット」(攻撃者が侵入したシステムに管理者権限でアクセス出来るよう設計されたマルウェア)だ。Symantecによれば、Daxinが最後に使用されたのは2021年11月だという。
Symantecは、ブログ記事の中で、Windowsのカーネルドライバーの形式を取ったこのマルウェアは、中国のグループが作成したものとして同社がこれまでに見た中で「もっとも高度なマルウェア」だと述べている。
このマルウェアは、サイバー攻撃に耐えられるようハードニングされたネットワークに侵入することを想定して設計されている。
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、民間企業と協力してサイバーセキュリティに対応する取り組みである「Joint Cyber Defense Collaborative」の民間パートナーから得た情報に基づき、Daxinを「影響が大きい」セキュリティインシデントに分類した。
Daxinは特定の国の政府や特定の重要なインフラを標的として使用されていた。CISAとSymantecは、Daxinの標的となった複数の国の政府と連絡を取り、同マルウェアの検出と修復を支援したという。
CISAによれば、Daxinは「複雑でステルス性の高いコマンドアンドコントロール(C2)機能を持つ、極めて高度なルートキットバックドア」だという。
同庁は、「Daxinは、ハードニングされた標的に対して使用するように最適化されており、アクターが標的のネットワークに深く潜り込み、疑いを持たれるのを回避しながらデータを盗み出すことを可能にする」と説明している。
Symantecの研究者は、Daxinは、ウクライナの組織に対して現在使用されている「WhisperGate」や「HermeticWiper」のようなデータの破壊を目的としたものではなく、諜報活動を目的としたものだと考えている。
Symantecは、「ターゲットの大半は、中国が戦略的に関心を持っている組織や政府のようだ」と述べている。
Daxinの目立った特徴は、それ自体がネットワークサービスを立ち上げることはせず、すでに侵入したコンピュータ上で実行されている正規のネットワークサービスを利用することだ。
この手法は、Microsoftが以前紹介した、「Windows」の正規のサービスを使用することで検知を逃れる「Living-off-the-Land型」(環境寄生型)のマルウェアの仕組みに似ている。ただしDaxinは、OSの正規のプロセスに相乗りするのではなく、組織内のサーバー間でやりとりされている、保護された正規のネットワークトラフィックを利用することでコンピューターに感染し、検知を回避している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。