中国のサイバー攻撃集団APT10がWindowsロゴを悪用した攻撃を継続中

Getty Images

Symantec(シマンテック)の脅威検出チームは、中国を後ろ盾とするスパイ組織が、Microsoft(マイクロソフト)Windowsのロゴに隠された悪意のあるコードを使用していることを発見した。

米国時間9月29日の報告によると「Witchetty(ウィチェッティ)」と名づけられたスパイ集団は「LookingFrog(ルッキンフロッグ)」としても知られ、中国が支援するサイバー攻撃集団APT10「Cicada(シケイダ)」と関係があると考えられており、武器化したWindowsロゴを使用して悪意のあるコードをばらまいている。

Symantecの研究者によると、この攻撃は2022年2月から続いており、中東2カ国の政府や、アフリカのある国の証券取引所を標的としている。

Windowsロゴがマルウェアを配布する仕組みとは?


マルウェア「Backdoor.Stegmap」は、ステガノグラフィ(検知を逃れるために、普通に見える画像ファイル内にコードを隠すこと)を利用している。問題のWindowsロゴは、バックドアを展開するために使用される。このペイロードは、ディレクトリの作成と削除、ファイルのコピーと削除、実行ファイルのダウンロードと実行、レジストリキーの作成と読み取り、ローカルファイルの窃取が可能であると研究者は述べている。

Windowsロゴは無害に見え、信頼できるクラウドホストにホストされており、最初のネットワークアクセスが達成された後に表示されるので、呼び出されたときに、セキュリティアラームを発動せずにダウンロードされる可能性が非常に高くなるのだ。

ネットワークへの初期アクセスには連鎖型エクスプロイト攻撃が必要


この攻撃は、最初にネットワークアクセスを必要とし、Microsoft Exchange ProxyShellおよびProxyLogonの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207、CVE-2021-26855、CVE-2021-27065)を利用し、Webシェルをインストールする連鎖攻撃でこれを獲得しているように見える。

侵害の指標を含む詳細は、本記事の冒頭でリンクしたSymantecのレポートに記載されている。

forbes.com 原文

編集=Akihito Mizukoshi

ForbesBrandVoice

人気記事