2019年3月29日

Kaspersky Lab、サプライチェーン攻撃手法を利用したAPT「ShadowHammer」を発見

調査の結果、攻撃を仕掛けたサイバー犯罪組織は、ASUS Live Update Utilityのユーザーを標的として、少なくとも2018年6月から11月の間にこのユーティリティにバックドアを仕掛け、全世界で100万以上のユーザーを危機に晒したとみています。

[本リリースは、2019年3月25日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Lab のグローバル調査分析チーム(GReAT) は、サプライチェーン攻撃によって多数のユーザーに影響を及ぼす新たなAPT活動を発見し、「ShadowHammer(シャドーハンマー)」と名付けました。調査の結果、攻撃を仕掛けたサイバー犯罪組織は、ASUS Live Update Utilityのユーザーを標的として、少なくとも2018年6月から11月の間にこのユーティリティにバックドアを仕掛け、全世界で100万以上のユーザーを危機に晒したとみています。

サプライチェーン攻撃はサイバー犯罪者にとって効果的な感染経路の1つであり、過去の「ShadowPad」や「CCleaner」のように、高度な攻撃活動において徐々に利用が増加しています。サプライチェーン攻撃は、製品ライフサイクルの初期開発段階からエンドユーザーに至るまでに関連する、特定の脆弱性を標的とします。製造元のインフラストラクチャのセキュリティが確保されていても、その調達先企業の設備にサプライチェーンを妨害するような脆弱性が存在すれば、それが破壊的かつ予期できないデータ侵害につながる可能性があります。

ShadowHammerを仕掛けたサイバー犯罪組織は、最初の感染元としてASUS Live Update Utilityを標的としました。このユーティリティは、BIOS、UEFI、ドライバー、アプリケーションの自動アップデートのために、最新のASUSコンピューターの大部分にプリインストールされています。攻撃者は、このソフトウェアの過去のバージョンを改竄して独自の悪意あるコードを注入し、窃取したASUSの正規証明書を使用して署名していました。トロイの木馬化したソフトウェアが、ASUS公式アップデートサーバーに置かれて配信されていたため、大半の保護製品で検知できない状態でした。

この改竄されたソフトウェアのユーザー全員が標的になり得たということになりますが、ShadowHammerを仕掛けたサイバー犯罪組織は、攻撃対象を予め何らかの情報を得ていた数百人のユーザーに絞り込んでいました。GReATの調査では、バックドアのコードにはハードコーディングされたMACアドレスのテーブルが含まれていました。このバックドアが標的のデバイス上で実行された後、そのデバイスのMACアドレスがテーブル内のリストに存在するかどうかが確認され、合致した場合は次のステージのマルウェアがダウンロードされます。リストに無い場合は、ネットワーク上での活動を行いません。調査の結果、現時点で600以上のMACアドレスが特定できており、これらのMACアドレスを標的とした230を超えるマルウェアのサンプルには、それぞれ異なるシェルコードが含まれていました。

この攻撃にはモジュール型アプローチが採用され、コードやデータの不用意な漏洩を防止するためにコード実行時に一層の注意が払われていることから、サイバー犯罪組織にとっては、検知されずにごく限られた標的を極めて高い精度で攻撃することが非常に重要であったと考えられます。攻撃者の手口は非常に高度であり、グループ内で極めて高度な開発が行われていることが、詳細な解析により判明しています。

さらに、アジア地域の別のベンダー3社のソフトウェアにも、非常によく似た手法や技術によってバックドアが注入されていることが判明しました。Kaspersky Labはこの問題をすでにASUSおよびベンダー3社に報告済みです。

Kaspersky LabのGReAT APACディレクター、ヴィタリー・カムリュク(Vitaly Kamluk)は次のように述べています。「今回のベンダーは、その膨大な顧客ベースの利用をもくろむAPTグループにとって極めて魅力的な標的です。攻撃者の最終目的は明確ではなく、私たちは現在も調査を続けています。しかし、不正なコード実行の手口や把握しているアーティファクトから判断すると、ShadowHammerはおそらくBARIUM APTに関連しているとみています。BARIUMは以前、ShadowPad、CCleanerなどのインシデントに関連付けられたAPTです。今回の新たな活動もまた、現代の巧妙なサプライチェーン攻撃がいかに高度で危険なものかを示す一例になっています」

カスペルスキー製品は、この悪意あるツールを以下の検知名で検知およびブロックします。
HEUR:Trojan.Win32.ShadowHammer.gen

■ 既知、未知のサイバー犯罪組織による高度な標的型攻撃から企業や組織を守るために、次のことを推奨します。

・エンドポイント製品のほかにも、ネットワークレベルへの高度な脅威を早期に検知する全社レベルのセキュリティ製品を導入する
・エンドポイントレベルの保護、インシデントの調査と迅速な復旧のために、EDR製品の導入や専門のインシデントレスポンスチームに対応を依頼する
・関連する最新の脅威データにアクセスして今後の攻撃に備えるために、利用中のSIEMやそのほかのセキュリティコントロールに脅威インテリジェンスのフィードを統合する

■ 参考情報

・調査は現在も進行中で、全調査結果はKaspersky Lab主催の「Security Analyst Summit 2019」(会期:2019年4月9日~11日 場所:シンガポール)において発表する予定です。
・ShadowHammerについて詳しくは、Securelistブログ「Operation ShadowHammer」(英語)をご覧ください。デバイスが攻撃対象かどうかを確認できる専用ツールを掲載しています。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。