Kaspersky の研究者は、中国語を話す APT 攻撃者 LuoYu が、man-on-the-side 攻撃を介して WinDealer マルウェアを配布していることを発見しました [1]。 この伝播メカニズムにより、攻撃者は転送中のネットワーク トラフィックを変更して、悪意のあるペイロードを挿入できます。 このような攻撃は、感染を成功させるために標的との人間やその他の相互作用を必要としないため、特に効果的です。
TeamT5 の調査結果 [2] に続いて、Kaspersky の研究者は、攻撃者が WinDealer マルウェアを増殖させるために使用する新しい方法を発見しました。 彼らは、man-on-the-side 攻撃を使用してトラフィックを読み取り、新しいメッセージを挿入します。 man-on-the-side 攻撃の概念は、攻撃者がネットワーク上の特定のリソースに対する要求を確認すると (盗聴スキルまたは ISP のネットワーク内での戦略的な位置付けによる)、攻撃者は応答を試みることです。正規のサーバーよりも高速です。 この場合、ターゲット コンピュータは、通常のデータの代わりに、攻撃者から提供された情報を使用します。 これらの「レース」のほとんどに負けたとしても、攻撃者はデバイスに感染するまで常に試行を続けることができます。
スパイウェアは多くの情報を収集します
攻撃が成功すると、スパイウェアがターゲット デバイスに到達し、さまざまな情報を収集できます。 これにより、攻撃者はデバイスに保存されているすべてのファイルを表示およびダウンロードし、すべてのドキュメントに対してキーワード検索を実行できます。 一般に、LuoYu は、中国に拠点を置く外国の外交機関、学術機関、防衛、物流、通信会社を標的にしています。 攻撃者は、WinDealer を使用して Windows ベースのマシンを攻撃します。
通常、マルウェアにはハードコーディングされた XNUMX つ以上のコマンド アンド コントロール サーバーが含まれており、そこから攻撃者がシステムを制御します。 これらのサーバーに関する適切な情報があれば、マルウェアがやり取りするこれらのサーバーの IP アドレスをブロックして、脅威を無力化することができます。 ただし、WinDealer は複雑な IP アドレス生成アルゴリズムに依存して、接続するマシンを決定します。
Windealer は連絡先の IP アドレスを生成します
これは 48.000 の可能な IP アドレスの範囲をカバーしており、オペレーターがそのほんの一部でさえも制御することはほとんど不可能です. この一見不可能なネットワーク動作を説明する唯一の方法は、攻撃者がこの IP 範囲でかなりの盗聴能力を持ち、宛先に到達しないネットワーク パケットを読み取ることさえできると仮定することです。
このような傍観者攻撃は、感染を成功させるために標的との相互作用を必要としないため、特に壊滅的です。 インターネットへのアクティブな接続で十分です。 さらに、ユーザーは、別のネットワークを介してデータ トラフィックをルーティングすることを除いて、事前に保護手段を講じることができません。 これは VPN を使用して可能ですが、特定の国では使用されていない可能性があり、特に中国市民には一般的に使用できません.
ドイツも影響を受けた
LuoYu の被害者の大部分は中国に居住しているため、Kaspersky の専門家は、LuoYu APT は主に中国語を話すユーザーと中国に関連する組織を標的にしていると考えています。 ただし、ドイツ、オーストリア、米国、チェコ共和国、ロシア、インドなど、他の国での攻撃も確認されています。
Kaspersky の Global Research and Analysis Team (GReAT) のシニア セキュリティ リサーチャーである Suguru Ishimaru は次のように述べています。 「彼らがどのようにしてそのような能力を開発できたのか、推測することしかできません。 デバイスに対する攻撃の唯一の要件は、インターネットに接続されていることだけであるため、man-on-the-side 攻撃は非常に効果的です。 攻撃が最初に失敗した場合でも、攻撃者は成功するまでプロセスを継続的に繰り返すことができます。 これにより、サイバー犯罪者は、外交官、科学者、その他の主要部門の従業員を標的とする非常に危険なスパイ攻撃を成功させることができます。 攻撃がどのように実行されたかに関係なく、自分自身を保護する唯一の方法は、非常に警戒を怠らず、堅牢なセキュリティ対策を採用することです. これには、定期的なウイルス対策スキャン、アウトバウンド ネットワーク トラフィック分析、および異常を検出するための広範なログ記録が含まれます。」
保護に関するカスペルスキーの推奨事項
- 定期的なウイルス対策スキャン、アウトバウンド ネットワーク トラフィック分析、異常を検出するための包括的なラグ ファイル収集など、堅牢なセキュリティ プラクティスを採用しています。
- すべてのネットワークのサイバーセキュリティ監査を実施し、ネットワーク境界上またはネットワーク境界内で発見された脆弱性を修正します。
- 脅威の検出、調査、およびインシデントのタイムリーな修復を可能にするアンチ APT および EDR ソリューションのインストール。 SOC チームは、常に最新の脅威データにアクセスし、定期的に専門的なトレーニングを受ける必要があります。 これらはすべて、Kaspersky Expert Security [3] 内で可能です。
- 包括的なエンドポイント保護に加えて、専用サービスが攻撃に対するさらなる保護を提供します。 Kaspersky Managed Detection and Response [4] は、攻撃者が標的に到達する前に、侵害を早期に特定して阻止するのに役立ちます。
- Kaspersky の脅威インテリジェンス リソース ハブ [5] は、現在のサイバー攻撃と脅威に関する独立した、常に更新され、グローバルに利用可能な情報への無料アクセスを提供し、高レベルのセキュリティを確保します。
【2] https://teamt5.org
【3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
【4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
【5] https://go.kaspersky.com/uchub 詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。