ステガノグラフィー用い攻撃モジュール隠し、メインモジュールはビットマップファイルに偽装(カスペルスキー) | ScanNetSecurity
2021.06.20(日)

ステガノグラフィー用い攻撃モジュール隠し、メインモジュールはビットマップファイルに偽装(カスペルスキー)

株式会社カスペルスキーは10月15日、2018年初めから2019年初めにかけて活動が行われたとみられる製造業の企業を限定して標的にした一連の高度サイバー攻撃(APT)を発見したと発表した。

脆弱性と脅威 脅威動向
株式会社カスペルスキーは10月15日、2018年初めから2019年初めにかけて活動が行われたとみられる製造業の企業を限定して標的にした一連の高度サイバー攻撃(APT)を発見したと発表した。

同社のグローバル調査分析チームによると、本攻撃活動に使用されたツールセットは検知回避のため、データ隠ぺい技術のステガノグラフィーを用いて主要な攻撃モジュールを隠し、指令サーバとの通信をパブリッククラウドサービスでホストするなどの様々な方法を使用していた。同社では最近も新たなマルウェアを検知しており、モジュールをコンパイルしたタイムスタンプが9月であることから、この攻撃活動は現在も開発を続けているとみている。

同社のグローバル調査分析チームのリサーチャーは、マルウェアの作成者がこのツールセットを「MT3」と呼んでいたことから、頭文字を利用してこの攻撃活動を「MontysThree」と名付けた。

「MontysThree」は、特定の企業の人物や社員を標的にするスピアフィッシングの手口で、従業員の名前や、技術文書、医療の分析結果などを装ったRAR SFXファイル(自己解凍型アーカイブ)を用いて、複数のモジュールを含むマルウェアツールセットをダウンロードさせる。モジュールに含まれているローダーは、感染先のシステム上での検知を回避するため秘密の情報を他の情報の中に埋め込み存在を隠ぺいするステガノグラフィーの技術を取り入れ、メインモジュールである悪意のあるペイロードはビットマップファイルに偽装、正しいコマンドが入力されると、ローダーがカスタマイズされたアルゴリズムを使用してピクセル配列から内容を復号し、悪意のあるペイロードを実行する。この悪意のあるペイロードは、指令サーバーとの通信を暗号化し、割り振られた主要な実行タスクを復号するためにRSAアルゴリズムを使用するなど、検知を回避するために独自の暗号化技術を複数用いている。

タスクには、特定の拡張子の文書や指定した企業のディレクトリの資料の探索が含まれ、特にMicrosoftとAdobe Acrobatの文書を対象とするよう設計されている。画面をキャプチャしたり、ネットワーク設定やホスト名などを取得するなど攻撃者にとって価値がある標的かどうかを確認し、これらの収集した情報や指令サーバーとそのほかの通信は、Google、MicrosoftやDropboxなどのパブリッククラウドサービスにホストされ、通信トラフィックが悪意のあるものとして検知されにくくなっている。これらのサービスをブロックするウイルス対策ソフトはないため、指令サーバーは妨害されることなくコマンド実行可能となる。

同社のグローバル調査分析チームのシニアセキュリティリサーチャーであるデニス・レゲゾ氏(Denis Legezo)は「MontysThreeは産業界を標的としていること、その戦術、技術、手順(TTPs)の組み合わせに、洗練されていながらどこかアマチュアらしさがある点で興味深い脅威です。攻撃のモジュールごとに精巧さが異なり、高度なAPT攻撃で使用されるモジュールとは比べものになりません。一方で、MontysThreeには強力な暗号標準が使用されており、カスタマイズしたステガノグラフィーなど、技術に精通した部分もあります。明らかなことは、攻撃者は攻撃ツールセットの開発に多大な労力を費やしているということです。確固とした目的があり、短期間で終わる攻撃を意図したものではないと考えられます」と述べている。

《高橋 潤哉( Junya Takahashi )》

関連記事

PageTop

特集

アクセスランキング

  1. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  2. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  7. イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

    イトーヨーギョーのサーバにランサムウェア攻撃、現時点で情報流出は確認されず

  8. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  9. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  10. PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは? ~ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

    PDF の契約書を署名段階で改竄、「邪悪なる注釈」そして「密かなる署名」攻撃とは? ~ 26 種類の PDF ソフトのうち 24 にオマケの脆弱性も

ランキングをもっと見る