新しいマルウェアがGitHubの投稿やSlackのチャンネルを悪用し、感染したWindows PCから貴重なデータを盗み出すと主張されている。
トレンドマイクロの研究者らは、このマルウェアを「Slub」と名付けた。これは、この悪質なソフトウェアが首謀者から指示を得て乗っ取ったコンピュータから情報を盗み出すために使用していたと思われる2つのサービスの名前を組み合わせたものである。
トレンドマイクロのウイルスハンターらは、先月末、ハッキングの対象となる人々が頻繁に訪れるウェブサイト「ウォーターホール」にSlubが潜んでいるのを発見したと発表した。例えば、チップ設計者のワークステーションを乗っ取ってプロセッサの設計図を盗もうとする場合は、半導体業界のゴシップを議論する人気のフォーラムを乗っ取ることになる。
政治活動に関心のある人々が集まる水飲み場のようなサイトが(Trendはそれ以上のことは明かさなかった)、Slubの首謀者によってハッキングされた。悪意のある人物はウェブページに悪意のあるコードを仕込み、最終的にアクセスした脆弱なマシンをマルウェアに感染させた。Internet Explorerで罠の仕掛けられたページを開いたWindowsのボックスは、CVE-2018-8174(VBScriptのリモートコード実行の脆弱性)を悪用する攻撃にさらされた。この脆弱性は昨年5月にMicrosoftによって修正された。
CVE-2018-8174 に対する Windows アップデートをインストールせずにこのサイトにアクセスしたユーザーは、Slub に感染した可能性があるとのことです。このエクスプロイトコードは、Slub 本体をダウンロードして実行するツールを取得します。コンピューター上でウイルス対策パッケージが検出された場合、マルウェアはそれ以上の展開を拒否します。その過程で、ダウンローダーは CVE-2015-1701 を悪用します。これは Windows カーネルの権限昇格バグであり、2015 年に Microsoft によって修正されました。このバグにより、Slub は PC を完全に乗っ取ることができました。
そこからバックドアが開かれ、悪意のある人物が密かにアクセスし、コマンドを送信できるようになります。Trendによると、ここでSlackが関与するとのこと。マルウェアがマシンに侵入すると、GitHubに戻り、Gist投稿に隠されたコマンドリストを取得します。これらのコマンドは、スパイウェアにスクリーンショットのキャプチャ、ハードウェアとシステム情報の収集、そして攻撃者が管理するSlackワークスペースへのアップロードなどの指示を与えます。また、これらのコマンドは、感染したPCからfile.io共有サイト経由でファイルをアップロードしたり、コマンドを実行したり、他のソフトウェアを取得して実行したりといった指示も送信します。
ちっ、ハッカーさん。既知の脆弱性を狙えばいいんだよ
続きを読む
つまり、GitHubのリストが侵入し、Slackのメッセージが流出したのです。その後、スパイウェアはSlackワークスペースのプライベートチャンネル経由でさらなる指示を受け取り、実行し、報告しました。これにより、このインスタントチャットサービスは事実上、バックドアの経路となりました。Trend社によると、このような形でSlackが利用されたのは初めてとのことです。犯人はGitHub、Slack、file.ioといった無料サービスを利用して活動し、支払いの痕跡を一切残しませんでした。
「攻撃者が実行したコマンドは、感染させたコンピュータの背後にいる人々についてより詳しく知ろうと、特に通信ソフトウェアに焦点を当てて、個人情報に強い関心を示していることは明らかだ」とトレンド社の研究者セドリック・ペルネット、ダニエル・ルンギ、ヤロミール・ホレジシ、ジョセフ・チェンは木曜日に述べた。
攻撃者の攻撃手法から判断すると、攻撃者はプロフェッショナルであるように思われます。彼らは公開されているサードパーティのサービスのみを利用しており、ドメイン登録など、痕跡を残すような行為は一切必要ありませんでした。調査中に発見した数少ないメールアドレスも、迷惑メールシステムを使用していたため、攻撃者にとって痕跡が残らない状態でした。
「最後に、攻撃者が選んだ水飲み場は、政治活動に関心を持つ人にとっては興味深いものと考えられる。これは、攻撃者が狙っているグループや個人の本質を垣間見ることができるかもしれない。」
ウォーターホール型攻撃の性質と、その攻撃活動における Slack と GitHub の使用から、Trend チームでは、Slub は特定の被害者を念頭に置いた、洗練された標的型攻撃の一部であると考えています。
「攻撃者のツール、技術、手順(TTP)に関する当社の技術的調査と分析により、この脅威は実際には有能な攻撃者によって実行されるステルス型の標的型攻撃であり、典型的なサイバー犯罪の計画ではないと考えられる」と彼らは書いている。
Gistのスニペットや場所など、より技術的な詳細は、上記リンク先のブログ記事をご覧ください。TrendがGitHubに報告した後、メインのGistは削除され、Slackはワークスペースを閉鎖しました。
「トレンドマイクロは最近、第三者がマルウェアを使って別の第三者のコンピュータに不正アクセスしていることを発見し、この行為に関連するSlack上のワークスペースの存在を報告しました」とTeam Slackは声明で述べた。
調査の結果、当該ワークスペースは利用規約違反に該当し、直ちに閉鎖されました。また、今回のインシデントによりSlackがいかなる形でも侵害されていないことを確認しました。当社はプラットフォームの不正利用防止に尽力しており、利用規約に違反する者に対しては、あらゆる措置を講じます。
ユーザーと管理者は、マシンを最新のパッチで更新する(このスパイ行為を働く悪質なマルウェアは、2015 年と 2018 年半ばに Microsoft によって対処されたセキュリティホールを悪用することに注意してください)などの基本的な予防措置を講じ、信頼できるウイルス対策パッケージを実行することで、特定のマルウェアから身を守ることができます。®
