バックドアTomiris

SAS 2021のカンファレンスにて、当社エキスパートは、DarkHaloグループと関連があると見られるバックドアTomirisについて発表しました。

当社のエキスパートは、標的型攻撃ですでに使用されている新たなバックドアを発見しました。「Tomiris」と呼ばれるこのバックドアは、SolarWindsの顧客に対するサプライチェーン攻撃でDarkHalo(別名:Nobelium)グループが使用したマルウェア「Sunshuttle(別名:GoldMax)」と多くの類似点があります。

Tomirisの機能

バックドアTomirisの主な役割は、感染先のコンピューターにさらなるマルウェアを送り込むことです。Tomirisはサイバー犯罪者の指令サーバーと絶えず通信し、指定された引数で実行する実行ファイルをダウンロードします。

当社では、ファイルを盗むタイプの変種も発見しています。こちらは、最近作成されたファイルのうち、特定の拡張子(.doc、.docx、.pdf、 .rarなど)を持つものを選別して指令サーバーにアップロードします。

このバックドアには、セキュリティのテクノロジーを欺き、調査する人の判断を誤らせるためのさまざまな機能が備わっています。例えば、感染してから9分間にわたって何もしないという挙動は、サンドボックスベースの検知メカニズムを欺くための活動遅延である可能性があります。さらに、指令サーバーのアドレスがTomiris内部にはエンコードされておらず、アクセスすべきURLとポートの情報がシグナリングサーバーから提供されるようになっています。

Tomirisの感染

攻撃者は、このバックドアを感染させるに当たり、DNS乗っ取りを使用していました。標的組織のメールサーバーからのトラフィックを、サイバー犯罪者の所有する悪意あるWebサイトへリダイレクトすることで、本物のメールサーバーへのログインページのように見えるページへと誘導することが可能です(ドメイン名レジストラのサイトにあるコントロールパネルのログイン情報を入手することでリダイレクトを実現していると思われる)。当然ながら、この偽ページに入力されたログイン情報は、直ちにサイバー犯罪者の手にわたります。

このページでは「セキュリティアップデート」のインストールが求められますが、この「アップデート」がTomirisのインストーラーです。

バックドアTomirisの技術的詳細、脅威存在痕跡(IoC)、TomirisとDarkHaloのツールに見られる関連性については、Securelistの記事(英語)をご覧ください。

対策

上記のようなマルウェア感染の手法は、Webメールにアクセスするコンピューターが強固なセキュリティソリューションによって保護されている場合は機能しません。さらに、企業ネットワーク内でのAPTのオペレーターによるアクティビティは、Managed Detection and Responseによって検知が可能です。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?