当社のエキスパートは、標的型攻撃ですでに使用されている新たなバックドアを発見しました。「Tomiris」と呼ばれるこのバックドアは、SolarWindsの顧客に対するサプライチェーン攻撃でDarkHalo(別名:Nobelium)グループが使用したマルウェア「Sunshuttle(別名:GoldMax)」と多くの類似点があります。
Tomirisの機能
バックドアTomirisの主な役割は、感染先のコンピューターにさらなるマルウェアを送り込むことです。Tomirisはサイバー犯罪者の指令サーバーと絶えず通信し、指定された引数で実行する実行ファイルをダウンロードします。
当社では、ファイルを盗むタイプの変種も発見しています。こちらは、最近作成されたファイルのうち、特定の拡張子(.doc、.docx、.pdf、 .rarなど)を持つものを選別して指令サーバーにアップロードします。
このバックドアには、セキュリティのテクノロジーを欺き、調査する人の判断を誤らせるためのさまざまな機能が備わっています。例えば、感染してから9分間にわたって何もしないという挙動は、サンドボックスベースの検知メカニズムを欺くための活動遅延である可能性があります。さらに、指令サーバーのアドレスがTomiris内部にはエンコードされておらず、アクセスすべきURLとポートの情報がシグナリングサーバーから提供されるようになっています。
Tomirisの感染
攻撃者は、このバックドアを感染させるに当たり、DNS乗っ取りを使用していました。標的組織のメールサーバーからのトラフィックを、サイバー犯罪者の所有する悪意あるWebサイトへリダイレクトすることで、本物のメールサーバーへのログインページのように見えるページへと誘導することが可能です(ドメイン名レジストラのサイトにあるコントロールパネルのログイン情報を入手することでリダイレクトを実現していると思われる)。当然ながら、この偽ページに入力されたログイン情報は、直ちにサイバー犯罪者の手にわたります。
このページでは「セキュリティアップデート」のインストールが求められますが、この「アップデート」がTomirisのインストーラーです。
バックドアTomirisの技術的詳細、脅威存在痕跡(IoC)、TomirisとDarkHaloのツールに見られる関連性については、Securelistの記事(英語)をご覧ください。
対策
上記のようなマルウェア感染の手法は、Webメールにアクセスするコンピューターが強固なセキュリティソリューションによって保護されている場合は機能しません。さらに、企業ネットワーク内でのAPTのオペレーターによるアクティビティは、Managed Detection and Responseによって検知が可能です。