Intel製ドライバーに以前から存在している既知の脆弱性を悪用し、サイバーセキュリティ上の保護策を迂回(うかい)してネットワークに侵入しようとするサイバー犯罪者らがいるという。
提供:Getty/Manuel Breva Colmeiro
こうした攻撃を分析したCrowdStrikeのサイバーセキュリティ研究者らが示唆したところによると、「Windows」システムを標的としたこの攻撃は、同社が「SCATTERED SPIDER」として追跡しているサイバー犯罪者グループの手によるものだという。なお、同グループは「Roasted 0ktapus」や「UNC3944」としても知られている。
SCATTERED SPIDERは金銭を目的とするサイバー犯罪を実行しており、CrowdStrikeの研究者らによると、モバイル通信業者のネットワークに対するアクセスの獲得を目的として、通信業界やアウトソーシング業界に狙いを定めているという。
攻撃者らはまず、SMSフィッシング攻撃を用いてユーザー名とパスワードを窃取し、ネットワークにアクセスすると考えられている。また一部のケースにおいて、攻撃者らはこれによって獲得したアクセスを使ってさらなる認証情報を得ようとする一方、SIMスワップ攻撃も遂行していると考えられている。
SCATTERED SPIDERはネットワークに侵入すると、CrowdStrikeが「Bring Your Own Vulnerable Driver」(BYOVD:脆弱性を有したドライバーの持ち込み)と呼ぶ、Windowsセキュリティの抜け穴を狙うテクニックを使用する。
Microsoftは、システムにアクセスしようとするマルウェアの機能を封じるために、署名されていないカーネルモードのドライバーをデフォルトでは実行できないよう制限を加えている。しかし攻撃者はBYOVDによってこの制限を回避できるため、正規の署名が付与された不正なドライバーをインストールし、攻撃を遂行できるようになる。
ここで用いられる正規の署名には、盗み出された証明書や、何らかの抜け道を使って作成した自己署名証明書が用いられる。ただ、どういった手法で入手したかに関わらず、自らのドライバーをシステム上で秘密裏に実行/インストールし、セキュリティ製品を無力化して自らのアクティビティーを隠ぺいすることができる。
こういった行動を可能な限り秘密裏に遂行するには、マルウェアを使用せず、さまざまな正規のリモートアクセスツールをインストールして、侵入したシステム上で長期的に活動できるようにするという方法がある。
CrowdStrikeの分析によると、攻撃者らは「Intel Ethernet diagnostics driver for Windows」(Windows用Intel Ethernet診断ドライバー)の脆弱性「CVE-2015-2291」を突き、不正なカーネルドライバーをデプロイしようとしているという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。