政府機関や重要インフラを標的にデータを盗む--マルウェア「Daxin」を研究者が警告

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2022-03-02 13:58

 中国政府と結びつきがあるハッキンググループが作成した、ステルス性の高いバックドア型マルウェアが発見された。このマルウェアは、複数の国の重要インフラを標的として使用されていた。

 Symantecの研究者が「Daxin」と名付けたこのマルウェアは、バックドア型の「ルートキット」(攻撃者が侵入したシステムに管理者権限でアクセス出来るよう設計されたマルウェア)だ。Symantecによれば、Daxinが最後に使用されたのは2021年11月だという。

 Symantecは、ブログ記事の中で、Windowsのカーネルドライバーの形式を取ったこのマルウェアは、中国のグループが作成したものとして同社がこれまでに見た中で「もっとも高度なマルウェア」だと述べている。

 このマルウェアは、サイバー攻撃に耐えられるようハードニングされたネットワークに侵入することを想定して設計されている。

 米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、民間企業と協力してサイバーセキュリティに対応する取り組みである「Joint Cyber Defense Collaborative」の民間パートナーから得た情報に基づき、Daxinを「影響が大きい」セキュリティインシデントに分類した。

 Daxinは特定の国の政府や特定の重要なインフラを標的として使用されていた。CISAとSymantecは、Daxinの標的となった複数の国の政府と連絡を取り、同マルウェアの検出と修復を支援したという。

 CISAによれば、Daxinは「複雑でステルス性の高いコマンドアンドコントロール(C2)機能を持つ、極めて高度なルートキットバックドア」だという。

 同庁は、「Daxinは、ハードニングされた標的に対して使用するように最適化されており、アクターが標的のネットワークに深く潜り込み、疑いを持たれるのを回避しながらデータを盗み出すことを可能にする」と説明している。

 Symantecの研究者は、Daxinは、ウクライナの組織に対して現在使用されている「WhisperGate」や「HermeticWiper」のようなデータの破壊を目的としたものではなく、諜報活動を目的としたものだと考えている。

 Symantecは、「ターゲットの大半は、中国が戦略的に関心を持っている組織や政府のようだ」と述べている。

 Daxinの目立った特徴は、それ自体がネットワークサービスを立ち上げることはせず、すでに侵入したコンピュータ上で実行されている正規のネットワークサービスを利用することだ。

 この手法は、Microsoftが以前紹介した、「Windows」の正規のサービスを使用することで検知を逃れる「Living-off-the-Land型」(環境寄生型)のマルウェアの仕組みに似ている。ただしDaxinは、OSの正規のプロセスに相乗りするのではなく、組織内のサーバー間でやりとりされている、保護された正規のネットワークトラフィックを利用することでコンピューターに感染し、検知を回避している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]