ESET 分析: バックドア ModPipe は、特に Oracle の POS システムに侵入します。 悪意のあるプログラムが、レストランで人気のある POS システムを攻撃します。
サイバー犯罪者は、ModPipe バックドアを使用して、ORACLE MICROS Restaurant Enterprise Sales (RES) 3700 Point-of-Sale (POS) POS システムを標的にしています。 このシステムは、バー、レストラン、ホテルなどの美食施設で数十万人が使用する広範な管理ソフトウェア スイートです。 ModPipe はモジュラー構造で、それぞれの場所に柔軟に適応できます。 感染に成功すると、攻撃者は、個人データや取引データなどのオペレーターの機密情報にアクセスできるようになります。 ESET の研究者は、WeLiveSecurity に関する広範な分析を公開しました。
バックドアはモジュール構造
「ModPipe の構造は、マルウェアの背後にいる開発者が RES 37000 POS システムに関する広範な知識を持っていることを示しています」と、ModPipe を発見した ESET の研究者 Martin Smolár は説明します。 「2019年に初めてその基本的なコンポーネントを見つけて分析しました。 これらは明らかに改善されています。 "
バックドアを特別なものにしているのは、ダウンロード可能なモジュールです。 ModPipe には、RES 3700 POS データベースのパスワードを収集するカスタム アルゴリズムが含まれています。 これを行うために、彼は Windows レジストリ値を解読します.これは、POS システムに関する攻撃者の深い知識を強調しています. 彼らは、キーロギングなどのより単純だがより明白なアプローチを介してデータを収集する代わりに、このような洗練された方法を選択しました. 漏洩した資格情報により、悪意のあるプログラムの背後にいるオペレーターは、さまざまな構成、ステータス テーブル、POS トランザクションに関する情報などのデータベース コンテンツにアクセスできます。 ただし、分析された ModPipe の亜種では、攻撃者はクレジット カード番号や有効期限などの機密データにアクセスできません。 この情報は、暗号化によってさらに保護されます。 したがって、攻撃者は貴重な情報をほとんど受け取っていないため、攻撃者のターゲットは不明のままです。 ESET の研究者は、犯罪者がより機密性の高いデータを解読できるようにする別のダウンロード可能なモジュールが存在するのではないかと疑っています。
POSシステム利用者がすべきこと
ModPipe の背後にいるオペレーターを監視するために、ホスピタリティ業界の利害関係者、および RES 3700 POS を使用するその他の企業は、次のことを行うことをお勧めします。
- POS ソフトウェアの最新バージョンがインストールされている必要があります。
- 一般に、使用するデバイスにインストールされているオペレーティング システムやその他のソフトウェアが常に最新であることが基本です。
- ModPipe や同様の脅威を検出する、信頼性の高い多層セキュリティ ソフトウェアを使用する必要があります。
詳細については、ESET.com の WeLiveSecurity をご覧ください。