ShadowHammer:新たな情報

2019年4月25日

以前の記事で、高度なサプライチェーン攻撃「ShadowHammer」についてお伝えしました。調査は現在も進行中ですが、この記事ではいくつかアップデート情報を紹介します。

活動の規模

前回の記事でも触れたとおり、この攻撃に利用された企業はASUSだけではありませんでした。この件を調査していく中で、当社のエキスパートは、同様のアルゴリズムを使用する別の検体を発見しました。ASUSの事例と同様、これら検体はデジタル署名された以下アジア企業のバイナリを使用していました。

  • Electronics Extreme – ゾンビサバイバルゲーム『Infestation: Survivor Stories』の制作会社
  • Innovative Extremist – WebおよびITインフラサービスのプロバイダー。同社のサービスはゲーム開発にも使用されている
  • Zepetto – ビデオゲーム『Point Blank』の開発元企業

最近コンパイルされた正規アプリケーションの内部にマルウェアがシームレスに統合されていたところから、当社のリサーチャーは、攻撃者は被害者となった企業のプロジェクトソースコードにアクセスしたか、プロジェクトのコンパイル段階でマルウェアを注入したと見ています。攻撃はこれら企業のネットワーク内部で発生したという意味であり、思い出されるのは1年前のCCleanerの件です。

また、調査を通じ、当社のエキスパートはこれ以外にも被害を受けた企業があることを突き止めました。ビデオゲーム企業、コングロマリット、製薬企業の3企業で、いずれも韓国に拠点を置いています。現在、この攻撃に関して対象企業とコンタクト中です。

最終目標

Electronics Extreme、Innovative Extremist、Zepettoの事例では、感染したソフトウェアが標的のシステムに対して送り込んだのは、システム関連の情報(ユーザー名、コンピューターのスペック、OSのバージョンなど)を集める機能を持つ比較的シンプルなペイロードでした。また、指令サーバーから悪意あるペイロードをダウンロードするのに利用された可能性があり、感染先をMACアドレスで絞り込んでいたASUSの事例とは異なります。

なお、ASUSの事例で使用された600超のMACアドレスを含むリストは、標的を600超に制限するものではありませんでした。MACアドレスのうち少なくとも1つは、仮想イーサネットアダプターのものでした。このアダプターを使用するデバイスは、すべて同じMACアドレスを使用します。

サプライチェーン攻撃に利用されないために

上記事例に共通するのは、攻撃者が有効な証明書を所有していること、そして攻撃者が標的の開発環境に侵入していることです。したがって、当社のエキスパートはソフトウェアベンダーに対し、自社ソフトウェアにマルウェアが挿入されていないかチェックする過程(デジタル署名後も)をソフトウェア開発プロセスに追加導入することをお勧めしています。

このような攻撃を受けるのを防ぐには、専門知識を持つエキスパートによる脅威ハンティングが必要です。Kaspersky Labの脅威ハンティングサービス「Kaspersky Threat Hunting」は、エキスパートによる24時間体制のサイバー脅威監視・分析のほか、ネットワーク内でのサイバー犯罪活動の特定とその要因解明を提供いたします。詳しくは当社公式ページをご覧ください。