カスペルスキー、暗号化を破るマルウェア「Reductor」について警告

カスペルスキー社は、暗号化されたTLSトラフィックを傍受したり操作したりすることなくデコードできる新たなマルウェア感染を発見したと発表した。

Reductorとして知られるこのマルウェアは、今年4月に発見され、スパイ活動に特化したハッカー集団「Turla」によるものだと考えられています。このマルウェアは、以前に確認された「COMpFun」と呼ばれるトロイの木馬と関連していると考えられています。

カスペルスキーのチームによると、Reductor の特徴は TLS 証明書を操作する能力にあります。これにより、感染によって他のマルウェアインストーラーが正規のソフトウェアであるかのように見せかけることができるようになります。

「ファイルのアップロード、ダウンロード、実行といった典型的なRAT機能に加え、Reductorの作成者はデジタル証明書を操作し、送信TLSトラフィックに固有のホスト関連識別子を付与することに多大な労力を費やしている」とカスペルスキーは説明している。

「Reductor は、一般的なソフトウェア ディストリビューション (Internet Downloader Manager、WinRAR など) に感染して拡散します。また、少なくとも 1 人の被害者は、HTTP 経由の一般的なウェアーズ Web サイトを介して拡散します。あるいは、その復号化プログラム/ドロッパーは、既に感染したホストにファイルをダウンロードする COMpfun の機能を使用して拡散します。」

Kaspersky チームは、中間者攻撃によるトラフィックの不正アクセスやキーの盗難を試みることなく、Reductor マルウェアはブラウザー (Chrome または Firefox) 自体に感染することで動作することを発見しました。

「Reductor の開発者が TLS トラフィックをマークするために見つけたソリューションは、最も独創的な部分です」と Kaspersky は説明した。

「ネットワーク パケットにはまったく触れません。代わりに、開発者は Firefox のソース コードと Chrome のバイナリ コードを分析し、プロセスのメモリ内の対応する疑似乱数生成 (PRNG) 関数にパッチを適用しました。」

乱数ジェネレータを侵害することで、マルウェアのオペレーターは、被害者がTLS接続を確立した際にトラフィックがどのように暗号化されるかを事前に把握し、そのトラフィックを後で使用するためにマークすることができます。これにより、マルウェアはトラフィックを容易にデコードし、送信されたデータの内容を確認し、興味のある情報をコマンドサーバーに送り返すことができます。

このデータはデコードできるため、攻撃者は転送中のトラフィックを実際に改ざんする必要がなく、セキュリティ ツールや管理者に異常を警告することなく活動できます。

「マルウェア開発者がこのような方法でブラウザの暗号化に干渉するのを見たことはこれまでなかった」とカスペルスキーのグローバル調査分析チームのメンバー、カート・バウムガートナー氏はこのマルウェアについて語った。

これはある意味で洗練された手法であり、攻撃者が長期間にわたり巧妙に検知を逃れることを可能にしました。攻撃手法の高度さは、Reductorマルウェアの作成者が高度な専門知識を有していることを示唆しており、これは国家の支援を受けた攻撃者の間では極めて一般的です。

幸いなことに、現時点ではこの戦術はこの特定のグループによる標的を絞ったスパイ活動に限定されているようです。しかし、これらのコンポーネントが他のマルウェアパッケージに侵入した場合、インターネット全体に危険をもたらす可能性があります。®