Kasperskyが新たに発見したバックドア「Tomiris」が、「Sunburst」攻撃者による新たな活動に関連している可能性

株式会社カスペルスキー

[本リリースは、2021年9月29日にKasperskyが発表したプレスリリースに基づき作成したものです]

---【概要】---
Kasperskyのグローバル調査分析チーム(GReAT※)はこのたび、未知のAPT(高度サイバー攻撃)の調査中に新たなマルウェアを発見しました。そのマルウェアには、既知のバックドア「Sunburst」を使用した攻撃活動を行ったとされる「DarkHalo」と関連する可能性がある特徴的な部分が幾つかありました。Sunburstを使用した攻撃は、近年のサプライチェーン攻撃の中でも、最も影響の大きいセキュリティインシデントの一つと見なされています。GReATのリサーチャーはこのバックドアを「Tomiris」と名付けました。
-------------

2020年12月、バックドア「Sunburst」を使用したセキュリティインシデントは大きな話題となりました。「DarkHalo」と呼ばれる攻撃活動グループは、広く使用されている企業向けのソフトウェアプロバイダーに不正アクセスし、長期間そのインフラストラクチャを利用して正規のソフトウェアアップデートに偽装したスパイウェアを配布していました。この件は大々的に報じられ、セキュリティコミュニティでも大規模な調査が行われましたが、攻撃者は雲隠れしたように思われました。Sunburstを使用した攻撃以来、DarkHaloの関与が考えられる大きなインシデントは無く、DarkHaloによるAPT活動は停止したように見えました。しかしながら、GReATの最近の調査結果では、活動は停止していない可能性があります。
 

図1:「Sunburst」キャンペーンのタイムライン

2021年6月、DarkHaloが活動を停止したかのように見えてから6カ月後、GReATのリサーチャーは、ある国の複数の政府機関に対するDNSハイジャック攻撃の痕跡を発見しました。ある一定期間、攻撃の対象者が利用する正規メールサービスのWebインターフェイスが、偽のWebインターフェイスにリダイレクトされ、ログイン時に悪意のあるソフトウェアアップデートをダウンロードするよう仕向けられていました。リサーチャーはその「ソフトウェアアップデート」を取得し、未知のバックドア「Tomiris」を発見しました。
 

図2:攻撃者が用意した正規メールサービスの偽Webログイン画面

分析を進めたところ、このバックドアの主な目的は、攻撃したシステムに足場を築いた後、ほかの悪意のあるコンポーネントをダウンロードするものと判明しました。後者については、残念ながら調査では特定できなかったものの、Tomirisバックドアが、Sunburst攻撃の第2段階で用いられる「Sunshuttle」バックドアに酷似しているという重要な事実を確認しました。

以下にSunshuttleとTomirisの類似点の一部を挙げます。
・Sunshuttleと同様に、Tomirisはプログラミング言語「Go」で開発されていました
・どちらも単一の暗号化/難読化スキームを用いて、構成とネットワークトラフィックの暗号化を行います
・どちらも永続化のためにスケジュールされたタスクを利用しているほか、活動を隠ぺいするためにランダム化やスリープによる遅延を用います
・この二つのプログラムの全般的なワークフローは酷似しており、共通の開発手法を用いている可能性があります
・それぞれ、英語に間違いがあります。例えば、Tomiris内の文字列(‘isRunned’)、Sunshuttle内の文字列(‘executed’ではなく‘EXECED’)。これは、英語を母国語としない話者によって作成されたことを示唆しています。DarkHalo攻撃活動グループは、ロシア語話者であることは広く知られています
・ Tomirisバックドアが見つかったネットワークには、Kazuarバックドアに感染したマシンが存在していました。KazuarはSunburstとコードの重複があることで知られています

Kaspersky GReATのセキュリティリサーチャー、ピエール・デルシ(Pierre Delcher) は、次のように述べています。「TomirisとSunshuttleが間違いなくつながっていると断定するには、まだ証拠が不十分です。それでも、包括的に考えると、少なくとも作成者が同じか開発手法を共有している可能性があると感じています」
同セキュリティリサーチャー、イワン・クフィアトコフスキ(Ivan Kwiatkowski)は、次のように加えています。「TomirisとSunshuttleが関連しているという我々の推測が正しければ、犯行が見つかった後に攻撃者がその能力を再構築する方法について、新たな光を当てることとなるでしょう。脅威インテリジェンスのコミュニティには、この調査を再現して、SunshuttleとTomirisの間に見つかった類似性についてのセカンドオピニオンを提供していただきたいと考えています」

・TomirisとSunburstの攻撃に関する調査結果は、Securelistブログ「DarkHalo after SolarWinds : the Tomiris connection」(英語)でご覧いただけます。
https://securelist.com/darkhalo-after-solarwinds-the-tomiris-connection/104311/
・2021年1月12日に発表済みのプレスリリース「Kaspersky、SolarWinds製品を悪用した攻撃と『Kazuar』バックドアに関連性を発見」はこちらをご覧ください。
https://www.kaspersky.co.jp/about/press-releases/2021_vir12012021

※ グローバル調査分析チーム:Global Research and Analysis Team(GReAT)、グレート
GReATはKasperskyの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。


■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
 

 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


ダウンロード
プレスリリース素材

このプレスリリース内で使われている画像ファイルがダウンロードできます

会社概要

株式会社カスペルスキー

12フォロワー

RSS
URL
https://www.kaspersky.co.jp/
業種
情報通信
本社所在地
東京都千代田区外神田3-12-8 住友不動産秋葉原ビル 7F
電話番号
03-3526-8520
代表者名
小林岳夫
上場
未上場
資本金
-
設立
2004年02月