当社エキスパートが、LuoYu APT グループによって作成された WinDealer マルウェアを 調査しました。とても興味深いことに、この攻撃者は man-on-the-side 攻撃に熟達しているようにみえ、マルウェアの配信および既に感染したコンピューターの制御の両方に、その手法を使用していることが判明しました。
man-on-the-side 攻撃が使用される仕組み
man-on-the-side 攻撃とは、サイバー攻撃者が何らかの方法で通信チャネルを制御し、それによってトラフィックを読み込み、通常のデータのやり取りに任意のメッセージを注入する攻撃です。
例えば、攻撃者は正規のソフトウェアからのアップデート要求を傍受し、攻撃に使用するファイルでアップデートファイルを置き換えます。この方法がマルウェア WinDealerの配布に使われています。
同様に、感染したコンピューター上のWinDealerに対して、攻撃者が指令を出す際にも使用されています。セキュリティリサーチャーによる指令サーバーの発見を困難にするため、このマルウェアには正確な通信先のIPアドレスが含まれていません。その代わり、事前に定義した膨大な通信先の対象範囲内でランダムな IP アドレスを生成して通信し、攻撃者はこのリクエストを傍受してレスポンスを返します。WinDealer は存在しないIPアドレスにもアクセスを試みることがありますが、そのような場合でもman-on-the-sideによってレスポンスを受信します。
当社エキスパートは、この方法を成功させるためには、攻撃者は定義した対象範囲全体のルーターに常時アクセスするか、インターネットプロバイダーレベルで高度なツールを使用する必要があるとしています。
WinDealer の標的
WinDealer の標的の大多数は、中国語話者および中国に存在する外国の外交機関、学術界のメンバー、防衛、物流、通信に関連する企業です。また、LuoYu APT グループは、ドイツ、オーストリア、米国、チェコ、ロシア、インドほかの国々も標的にすることがあります。ここ数か月は、東アジアの国々の企業や中国にオフィスを持つ海外企業にも対象範囲を広げ始めています。
WinDealer の機能
WinDealer は最新のスパイウェアの機能を実装しており、以下のようなことを実行できます。WinDealerマルウェアとその配信メカニズムの詳細については、Securelistの記事(英語) をご覧ください。
- ファイルやファイルシステムの操作(ファイルを開く、ファイルへ書き込む、ファイルを削除する、ディレクトリやディスクに関するデータの収集)
- ハードウェア、ネットワーク設定、プロセス、キー配列、インストール済みのアプリケーションに関する情報の収集
- 任意のファイルのダウンロードおよびアップロード
- 任意のコマンドの実行
- テキストファイルおよび MS Office 文書内の検索
- スクリーンショットの撮影
- ローカルネットワークのスキャン
- バックドア機能のサポート
- 利用可能な Wi-Fi ネットワークに関するデータの収集(当社エキスパートが発見したマルウェアの亜種のうち、少なくとも 1 つがこれを行えます)
安全を保つには
残念ながら、man-on-the-side 攻撃はネットワークレベルで保護することは非常に困難です。理論的にはVPN 経由での接続が考えられますが、いつでも利用できるとは限りません。そのため、スパイウェアの感染を排除するには、インターネットにアクセスするすべてのデバイスに信頼できるセキュリティ製品の実装を推奨します。また、EDR クラスの製品が、早期段階での異常の検知と攻撃の阻止に役立ちます。