ESETは、「電子機器メーカー」を含む標的に対して最近のサプライチェーン攻撃手法を展開したと思われる高度な持続的脅威(APT)攻撃グループの詳細を公開したが、標的がどの企業であるかは明らかにしていない。
ESETは本日公開した調査レポートの中で、「この攻撃の被害者は東アジアと中東におり、政府機関、宗教団体、電子機器メーカー、大学などが含まれている」と述べ、APT攻撃グループをGelsemiumと名付けている。
ESETが作成した地図によると、標的国には中国、日本、モンゴル、台湾、北朝鮮、韓国、そして中東諸国が含まれています。しかし、このマルウェアには以前から、中国製ウイルス対策スイートを回避するためのバイパス機能が組み込まれていました。
ゲルセミウムの既知の標的を示すESETのイラスト
ゲルセミウムは、全世界で約1億5000万人のユーザーを誇るBigNox社製のフリーウェアAndroidエミュレーター「NoxPlayer」を標的としたサプライチェーン攻撃の背後にいたと言われている。
ESET が 2 月に APT によるものと特定される前に指摘したインシデントでは、BigNox の更新 API メカニズムが侵害され、正規の新バージョンを装って特定のユーザーにマルウェアが配信された可能性がある。
Gelsemium は 2010 年代半ばに初めて確認されて以来、当初は単純なスピアフィッシングから、今年第 1 四半期に確認された Microsoft Exchange の脆弱性の悪用に至るまで、さまざまな配信ベクトルを使用しています。
新たな APT の発見は珍しいことではありませんが、それでも情報セキュリティに関する幅広い知識が追加され、ランサムウェア集団の活動の終わりのない分析からの転換を確実にもたらします。これは、今日インターネットに接続された組織が直面しているすべての脅威が、主流のテレビニュースの見出しを飾る脅威ではないという貴重な教訓となります。
「調査中に、Mimikatzがマシンにドロップされた被害者を発見しました。攻撃者は、リモートサーバーからダウンロードしたツールのPowerShellバージョンを使用しています」とESETは付け加えました。
スロバキアに拠点を置くこのアンチウイルス企業は、ホワイトペーパーの中で他の情報セキュリティ研究企業に感謝の意を表し、中国に拠点を置く企業の研究成果を引用しています。2018年には、中国の情報セキュリティ企業Venustechが、現在ESETがGelsemiumと呼んでいるものに関する論文(PDF、中国語)を公開しました。その中で特に印象に残る結論の一文があります。「この組織から配信されるマルウェアには、中国のアンチウイルスソフトウェアに対する多数の検出および回避手法が含まれています。」
ESET自身も独自の分析で、Gelsemiumのマルウェアペイロードには、他の一般的な消費者向けエンドポイントウイルス対策スイートに加え、Qihoo360やKasperskyのチェックが含まれていたことを強調しました。
同社のトーマス・デュピュイ氏はThe Register紙に次のように語った。「このウイルス対策ソフトの検出機能は少々複雑で、マルウェアの挙動を微調整するために使用されます。例えば、特定のプロセスやメカニズムの実行を停止することで、マルウェアの次の段階へと誘導したり、場合によってはマルウェアの実行を停止させたりします。さらに、標準ユーザーまたは管理者、そしてWindowsのバージョンによって、より柔軟な対応が可能になります。例えば、360 AVがインストールされていて、Windows Vistaより前のバージョンであれば、マルウェアの実行を停止させることができます。」
詳細については、ESET のブログをご覧ください。®
