2020年12月、Doctor Webのウイルスラボは中央アジアに拠点を置く通信会社から、従業員が社内ネットワーク上で怪しいファイルを発見したという連絡を受けました。Doctor Webのアナリストが悪意のあるサンプルを抽出して調査を行った結果、このサンプルは Winnti として知られるハッカーグループによって使用されるバックドアの一つであることが明らかになりました。
###
Winntiによって使用されるマルウェアについては、キルギスタンの国家機関の侵害されたネットワーク内で発見された ShadowPad バックドアのサンプルに関する調査の過程ですでに触れています。また、このネットワークではコードやネットワークインフラストラクチャにおいてShadowPadと多くの共通点を有するPlugXと呼ばれる特殊化された別のバックドアも発見されています。この2つのファミリーに関する比較分析の結果はこちらの記事をご覧ください。
本調査レポートでは、発見された悪意のあるモジュールについての分析、ならびにそのアルゴリズムと機能についての調査を行い、Winnti APTによって使用される他の良く知られたツールとの関連性を明らかにします。
主な特徴
悪意のあるモジュールは感染したデバイスのシステムディレクトリ C:\Windows\System32 内に oci.dll として置かれていました。すなわち、このモジュールはDLLハイジャッキングを用いて MSDTC (Microsoft Distributed Transaction Coordinator、Microsoft分散トランザクションコーディネーター)システムサービスによって起動されるようになっていました。このファイルは2020年5月にコンピューター上に侵入していることがデータから明らかになっていますが、その最初の感染手段については不明のままです。イベントログには MSDTC を開始・停止させるよう設計されたサービスの作成とバックドアの実行に関する記録が含まれていました。
詳細は以下をご覧ください。
(リンク »)
Winntiによって使用されるマルウェアについては、キルギスタンの国家機関の侵害されたネットワーク内で発見された ShadowPad バックドアのサンプルに関する調査の過程ですでに触れています。また、このネットワークではコードやネットワークインフラストラクチャにおいてShadowPadと多くの共通点を有するPlugXと呼ばれる特殊化された別のバックドアも発見されています。この2つのファミリーに関する比較分析の結果はこちらの記事をご覧ください。
本調査レポートでは、発見された悪意のあるモジュールについての分析、ならびにそのアルゴリズムと機能についての調査を行い、Winnti APTによって使用される他の良く知られたツールとの関連性を明らかにします。
主な特徴
悪意のあるモジュールは感染したデバイスのシステムディレクトリ C:\Windows\System32 内に oci.dll として置かれていました。すなわち、このモジュールはDLLハイジャッキングを用いて MSDTC (Microsoft Distributed Transaction Coordinator、Microsoft分散トランザクションコーディネーター)システムサービスによって起動されるようになっていました。このファイルは2020年5月にコンピューター上に侵入していることがデータから明らかになっていますが、その最初の感染手段については不明のままです。イベントログには MSDTC を開始・停止させるよう設計されたサービスの作成とバックドアの実行に関する記録が含まれていました。
詳細は以下をご覧ください。
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
