2019年の終わりごろ、Kasperskyのエキスパートは水飲み場型の手法を使用した標的型攻撃を発見しました。この攻撃は、高度なテクニックを使っているわけではなく、脆弱性を悪用することもなく、それでも少なくとも過去8か月にわたってアジア地域内の人が持つデバイスへの感染を成功させていました。マルウェアの拡散に使用されたWebサイトのジャンルから、この攻撃は「Holy Water」(聖水)と名付けられました。この数か月の間に当社が発見した水飲み場型の手法を使った攻撃は、これで2例目となります(もう一方の攻撃については、こちらの記事をご覧ください)。
Holy Waterはどのようにデバイスに入り込むのか
攻撃者は、ある時点でサーバーに侵入したと見られます。このサーバーは、主に聖職者、公的機関、慈善団体関連のWebページをホストしていました。攻撃者はこれらのページのコード内に悪意あるスクリプトを埋め込み、攻撃の実行に利用しました。
スクリプトが仕込まれたページに誰かがアクセスすると、このスクリプトは完全に正規のツールを使用してその人に関するデータを収集し、検証のために第三者のサーバーへ転送します。標的を選定する基準は不明ですが、標的として見込みがあると判断された場合には、受け取った情報に対して攻撃継続のコマンドがサーバーから送信されます。
これを受け、ページへアクセスした人に対してAdobe Flash Playerのアップデートを求める通知が表示されます。Flash Playerが古いのでセキュリティ上のリスクがある、と言ってアップデートを要求するのは、悪意あるファイルをダウンロードさせるためにかれこれ10年以上使われているおなじみのパターンです。アップデートを承諾すると、Adobe Flash Playerではなく「Godlike12」というバックドアがダウンロードされ、コンピューターにインストールされます。
Godlike12の危険性
この攻撃の背後にいる人々は、標的に関する情報の収集と悪意あるコードの保管を行うのに、正規のサービスを積極的に利用しています。Godlike12はGitHubに置かれ、Googleドライブを使用して指令サーバーと通信していました。
Godlike12はGoogleドライブに識別子を配置し、定期的に呼び出しを行って、攻撃者からのコマンドをチェックしていました。コマンドの実行結果も、Googleドライブにアップロードされていました。当社のエキスパートによると、この攻撃が目的としていたのは、偵察と、感染デバイスからの情報収集でした。
攻撃の技術的な詳細や使用されたツールについては、Securelistの記事(英語)をご覧ください。こちらの記事には脅威存在痕跡(IoC)も掲載されています。
被害を防ぐ方法
これまでのところ、当社がHoly Waterを観測したのはアジア地域に限られます。ただ、この攻撃に使われているツールはかなり単純なものであり、他の地域にも容易に広がる可能性があります。この攻撃が特定の個人や組織を狙ったものであるのかどうか、断言することはできません。しかし、この感染したサイトには、自宅のデバイスからでも会社のデバイスからでも、誰でもアクセスできてしまうことは確かです。
したがって、居住地にかかわらず、個人か企業かを問わず、インターネットに接続するデバイスをすべて保護することをお勧めします。Kasperskyは個人用コンピューターと企業のコンピューターの双方に向けたセキュリティ製品をご用意しています。当社の製品は、Holy Waterの作成者が使用しているあらゆるツールとテクニックを検知し、ブロックします。