詐欺師たちは、名前が明らかにされていない PDF エディター ソフトウェア ベンダーのサプライヤーをハッキングした後、暗号通貨マイニング詐欺を実行した。
マイクロソフトは、PDFエディターアプリによってインストールされたフォントパッケージの一部が、未だ正体不明のハッカーによって侵害されたと報告しました。このハッキングは、2種類の暗号通貨マイニングアプリの拡散に利用されました。これは、今日のサイバー犯罪です。
レドモンドのセキュリティ対応チームは、Windows Defender ウイルス対策の商用版である Windows Defender ATP によって生成されたアラートを追跡した後、この攻撃に気付きました。
その後の調査で、不正な侵入者がアプリメーカーなどのサプライヤーのクラウドベースのインフラに、MSIファイル形式のフォントパッケージを使って侵入したことが明らかになりました。さらに6つのアプリベンダーが、攻撃者のサーバーからインストールパッケージをダウンロードするようにリダイレクトされる危険性がありました。PDFアプリメーカー以外、被害が確認されているアプリはありません。
名前のないPDFパッケージは、金儲けのための詐欺の一環として攻撃の標的となったようです。アプリベンダー自体が侵害されたわけではなく、そのパートナーが攻撃を受け、その後、上流のソフトウェアミックスに悪質なコードが注入されたのです。
ハッカーは、目立たないファイルの中に隠して汚染された MSI ファイルのダウンロードをプッシュする前に、パートナーのクラウドベースのサーバーのコピーを作成しました。
![サプライチェーン攻撃の解剖 [出典: Microsoft ブログ投稿]](https://image.brawte.com/anejbkmn/27/03/supply_chain_attack.webp)
PDFエディターベンダーに対するサプライチェーン攻撃の分析
「悪意のあるMSIファイルは、フォントパッケージの一部としてサイレントインストールされ、インストール中にアプリによってダウンロードされた他の正規のMSIファイルに混在していました」とMicrosoftは説明しています。「悪意のあるファイル1つを除き、すべてのMSIファイルはクリーンで、同じ正規の企業によってデジタル署名されていました。」
「攻撃者は、アジアフォントパックのMSIファイルを逆コンパイルして変更し、コインマイニングコードを含む悪意のあるペイロードを追加しました。
攻撃者は、特定されていない脆弱性(中間者攻撃やDNSハイジャックではないと思われる)を利用して、[PDFエディター]アプリで使用されるダウンロードパラメータに影響を及ぼすことに成功しました。パラメータには、攻撃者のサーバーを指す新しいダウンロードリンクが含まれていました。
トリッキーだが、この事件が黒幕の忍者の仕業だとは思わないでおこう。
「この新たなサプライチェーンのインシデントには、国家レベルの攻撃者や高度な技術を持つ敵対者が関与しているようには見えず、乗っ取ったコンピューティングリソースを使って仮想通貨マイニングで利益を得ようとする卑劣なサイバー犯罪者によって扇動されたようだ」とマイクロソフトは付け加えた。
PDF エディター アプリのアジア ユーザーは、他の多くの仮想通貨マイニング詐欺と同様に、仮想通貨マイニング コードがバンドルされた汚染されたフォント パッケージをダウンロードし、感染した PC のリソースを乗っ取って Monero をマイニングしました。
この一連の攻撃は、サプライチェーン攻撃の好例であり、昨年のNotPetyaランサムウェアの拡散にも利用されました。また、最近ではCCleanerユーティリティを装ったスパイウェアを拡散させるという、より巧妙なサイバースパイ活動にも、同様の戦術が利用されました。
具体的な事例としては、改ざんされたフォントを搭載した PDF エディター アプリが管理者権限でインストールされたことが挙げられるが、これはそもそもアプリ開発者がなぜ標的にされたのかをある程度説明している。
マイクロソフトは、この侵害は2018年1月から3月まで続き、少数のユーザーのみに影響を与えたと見積もっており、少数の開発者が標的にされたことを強く示唆している。
レドモンド氏は次のように結論付けた。「影響は限定的だが、今回の攻撃は2つの脅威の傾向を浮き彫りにした。(1)ソフトウェアサプライチェーンを脅威の媒介として利用する攻撃の頻度の増加、(2)マルウェア攻撃による収益化の主な手段としての暗号通貨マイナーの利用増加である。」®
