ShadowHammer:ASUSのラップトップを狙う悪意あるアップデート

Kaspersky Labのテクノロジーにより、過去最大規模のサプライチェーン攻撃と思われる脅威が検知されました。

Kaspersky Labのエキスパートは、当社製品に搭載の新技術により、過去最大規模と考えられるサプライチェーン攻撃を発見しました(CCleanerの一件を凌ぐ規模です)。ASUSのラップトップやデスクトップへBIOS、UEFI、ソフトウェアのアップデートを配信するツール「ASUS Live Update Utility」が攻撃者により改竄され、バックドアが仕掛けられました。このツールは、公式チャネルを通じてASUS利用者へ配信されていました。Kaspersky LabはこのAPT(Advanced Persistent Threat)を「ShadowHammer」と名付けました。

トロイの木馬と化したLive Update Utilityは正規の証明書で署名されており、ASUSのアップデート専用の公式サーバーにホストされていたため、長い間検知を免れていました。それだけでなく、悪意あるLive Update Utilityのファイルサイズを元ファイルと同じサイズにするという偽装工作も施されていました。

当社のデータによれば、当社製品の利用者のうち57,000人以上が、このバックドア化されたツールをインストールしていました。攻撃の影響範囲を正確に算出することはできませんが、全体で約100万人に配信された可能性があると当社では推定しています。ただし、攻撃者はその全員に興味があったわけではないようです。バックドア化されたツールにはMACアドレスのリストがハードコードされており、感染先が意図する標的かどうかの照合に使われていました。当社の調査では、攻撃に使用された200以上の検体からユニーク数にして600個のMACアドレスが見つかっています。

当社では、この攻撃を調査する中で、これ以外のベンダー3社のソフトウェアに対しても同様のテクニックが使用されていることを突き止めました。ASUSおよび当該ベンダーには、この攻撃について当社よりすでに通知済みです。

Kaspersky Labでは、自分のコンピューターのMACアドレスが攻撃対象に含まれるかどうかをチェックするためのツールをご用意しました。いずれかの方法で確認することができます。

  • ツールをダウンロードし、コンピューター上で実行する。リンクをクリックするとZIPファイル(shadowhammercheck.zip)のダウンロードが始まります。解凍して実行ファイル(shadowhammer.exe)を起動してください。インターフェイスは英語です。
    ツールのダウンロードリンク:https://kas.pr/shadowhammer
  • Webページ上で確認する。
    確認用ページ(英語):https://shadowhammer.kaspersky.com/

Kaspersky Labの製品は、この悪意あるツールを以下の検知名で検知およびブロックします。

  • HEUR:Trojan.Win32.ShadowHammer.gen

ASUS Live Update Utilityをお使いの場合は、ツールを新しいバージョンに更新することをお勧めします。

本件の調査は現在も進行中です。ShadowHammerの技術的な情報およびIoC(Indicators of Compromise:脅威存在痕跡)については、Securelistの記事(英語)をご覧ください。また、今年4月8日〜11日にシンガポールで開催されるKaspersky Security Analyst Summit(SAS)2019(英語サイト)にて、ShadowHammerに関する詳細な発表を行います。SASのチケットは残りわずかとなっております。詳しくはリンク先をご参照ください。SASで発表される内容は、会期中にSecurelistにて公開予定です。

ヒント