情報セキュリティベンダーのチェックポイント社によると、USBドライブ上で拡散することを目的としたマルウェアが、意図せずネットワークストレージデバイスに感染しているという。
このソフトウェアマルウェアはカマロ・ドラゴンと呼ばれるグループが発信したもので、チェックポイントの研究者は木曜日、中国のマスタング・パンダやルミナスモス攻撃集団が実行しているのと同様の攻撃を実行するよう同グループに勧告した。
チェックポイント社は、カマロ ドラゴンが最も関心を持っているのはアジアの標的であると考えている。そのコードには、同地域で人気のウイルス対策ソリューションである SmadAV から身を隠すための機能が含まれている。
それでも、この会社が最初にこのギャングの活動をヨーロッパで発見したのです!
「マルウェア感染の第一号患者は、アジアで開催された会議に参加していた従業員と特定されました」と、チェックポイントの研究者らは記している。「彼はUSBドライブを使って他の参加者とプレゼンテーションを共有していました。ところが、同僚の一人が感染したコンピューターを使用していたため、結果として彼のUSBドライブも知らないうちに感染してしまったのです。」
「従業員はヨーロッパの母院に戻った後、感染したUSBドライブを病院のコンピュータシステムに持ち込み、感染が拡大した。」
Checkpoint社は、感染チェーンは、被害者が感染したUSBフラッシュドライブ上で悪意のあるDelphiランチャーを起動した時点で始まると考えています。これにより、バックドアが起動し、感染したマシンに接続する他のドライブにマルウェアがロードされます。
これは厄介なことですが、USB デバイスを制限するさまざまなテクニックで抑制することも可能です。
- バラクーダの電子メールゲートウェイへのデータ収集攻撃は中国のスパイによるものとされる
- 北朝鮮の粗悪なロケット技術を盗んだ集団にフィッシングされたかもしれない
- 6月のパッチ火曜日:VMwareの脆弱性が中国のスパイの攻撃を受ける、Microsoftはちょっと残念
- 北朝鮮は、ソウルのハロウィーンの悲劇を利用してインターネットエクスプローラのゼロデイ脆弱性を悪用し、新たな低水準を記録した。
このマルウェアは、感染したマシンが新しく接続されたネットワーク ドライブにマルウェアをインストールしますが、感染時にすでにマシンに接続されているドライブにはインストールしないため、企業の IT に大きなリスクをもたらします。
Checkpoint 社は、新しく接続されたネットワーク ドライブへの拡散は意図的なものではないと考えています。
北京に挑み、その中傷を打ち破る台湾の情報セキュリティチーム、TeamT5を紹介する
続きを読む
「このように感染したネットワークドライブは、理論的には同一ネットワーク内でのラテラルムーブメントの手段として利用される可能性があるが、この動作は意図的なものではなく、むしろ欠陥であるように思われる」と研究者らは記している。「多数のファイルを操作し、ネットワークドライブ上でUSBメモリのアイコンが付いた実行ファイルに置き換えることは、目につきやすい行為であり、さらなる不利な注目を集める可能性がある。」
そして私たちは皆、サイバー犯罪集団が、悪質なコードが悪事を働けるよう、できるだけ目立たないようにしようとしていることを知っています。
このコードが実行されると、バックドアがインストールされ、データの窃取が試みられます。そのため、ネットワークストレージへの一見偶発的な感染は、実際には非常に深刻な事態を招きます。多くの組織では、重要なデータがそこに保存されているからです。
このマルウェアのもう一つの厄介な特徴は、「G-DATA Total Securityなどのセキュリティソフトウェアや、大手ゲーム会社2社(Electronic ArtsとRiot Games)のコンポーネントを使用してDLLサイドローディングを実行する」ことです。Checkpointは、ゲーム開発者に対し、Camaro Dragonの計画における彼らの無意識の役割について報告しました。
チェックポイント社は、USB で運ばれるコードをミャンマー、韓国、英国、インド、ロシアで確認したと書いている。
「自己増殖型USBマルウェアを使った攻撃の蔓延と性質は、そのような攻撃の直接の標的ではない組織であっても、それらに対する防御の必要性を示している」と同社はアドバイスしている。®
