近年、サイバー攻撃はますます巧妙化しており、政府関係者をターゲットにした攻撃が世界中で増加しています。特に、タイの政府関係者が新たなサイバー攻撃の標的となり、注目を集めています。
この攻撃では、DLLサイドローディングやバックドアといった高度な手法が使用され、被害者のシステムに不正にアクセスし、機密情報を盗み出すことを目的としています。これらの攻撃手法は、正規のプログラムやシステムの脆弱性を悪用し、悪意のあるコードをユーザーの知らないうちに実行させることで、情報漏洩やシステムの乗っ取りを引き起こします。
本記事では、タイの政府関係者を狙ったサイバー攻撃の詳細と、その背後に潜む手法を深掘りし、DLLサイドローディング攻撃やバックドアがどのように機能するのか、そしてそれが引き起こすリスクについて解説します。また、これらの攻撃に対抗するためのセキュリティ対策についても考察します。
攻撃の概要
攻撃の出発点は、RAR形式のアーカイブファイルで、タイ語で「米国司法省.pdf」と「米国政府の国際的な刑事事件協力の要請.docx」と名付けられた2つのWindowsショートカットファイルが含まれています。これらのファイルを開くと、それぞれ偽のPDFとMicrosoft Word文書が表示されると同時に、バックグラウンドで悪意のある実行可能ファイルが密かに展開されます。
攻撃の手法
実行可能ファイルは、iTop Data Recoveryアプリケーションに関連する正当なバイナリ「IdrInit.exe」、悪意のあるDLL「ProductStatistics3.dll」、および攻撃者が制御するサーバーから送信される情報を含むDATAファイルの3つのファイルを展開します。次の段階では、「IdrInit.exe」が「ProductStatistics3.dll」をサイドローディングし、最終的にバックドアが展開されます。
DLLサイドローディングとは
DLLサイドローディングは、悪意のあるDLL(ダイナミックリンクライブラリ)ファイルを正当なアプリケーションと一緒にロードさせる手法です。これにより、攻撃者は正当なプロセスを悪用してマルウェアを実行し、検出を回避することができます。
サイドローディングの仕組み
アプリケーションがDLLを読み込む際、以下のような検索順序を使います(例:Windows):
- アプリケーションの実行ディレクトリ。
- システムディレクトリ(例:C:\Windows\System32)。
- 環境変数
PATHに設定されたディレクトリ。
攻撃者は、この検索順序の優先度を利用して、不正なDLLを実行ディレクトリに配置します。すると、正規のDLLではなく攻撃者が用意したコードが実行されます。
実際の例: サイドローディング攻撃
以下は典型的なDLLサイドローディング攻撃の流れです:
正規のプログラムを利用:
攻撃者は、正規のアプリケーション(例:Adobe製品、ゲーム、管理ツール)をターゲットにします。
このアプリケーションが特定のDLLをロードする際に信頼性チェックを行わないことを利用します。
偽のDLLを用意:
攻撃者が、正規のDLLと同じ名前の不正なDLLを作成します。
例: 正規の「ProductStatistics3.dll」の代わりに、バックドアを含む偽の「ProductStatistics3.dll」を作成。
偽のDLLを配置:
偽のDLLをアプリケーションの実行ディレクトリやUSBドライブに配置。
正規のアプリケーションを実行すると、このDLLがロードされます。
攻撃が発動:
偽のDLLがロードされると、攻撃者のコードが実行されます。
バックドアの展開や情報窃取が行われます。
Yokaiバックドアの機能
Yokaiバックドアは、ターゲットシステムに持続性を確立し、コマンドアンドコントロール(C2)サーバーと接続してコマンドコードを受信します。これにより、cmd.exeを起動し、ホスト上でシェルコマンドを実行することが可能となります。
バックドアの仕組みについて
バックドアが展開されると、攻撃者はターゲットのシステムに対して以下のようなことが可能になります
1.システムの完全な制御
展開されたバックドア(今回の場合は「Yokai」)は、攻撃者がターゲットシステムに接続し、遠隔操作できるようにします。たとえば、以下のような操作が可能です
コマンド実行: 攻撃者は、Windowsコマンドプロンプト(cmd.exe)を介して任意のコマンドを実行できます。
cmd.exeを利用した情報収集:
systeminfoでOSのバージョンやメモリなどの情報を収集。ipconfig /allでネットワークアダプタの設定やIPアドレスを取得。netstat -anで開かれている通信ポートや接続先情報を確認。whoamiで実行中のユーザー名を取得。tasklistで実行中のプロセスをリスト化。
もちろん、ファイルの操作、ファイルの作成、削除、変更、ダウンロード、アップロードなどが可能です。
2.情報収集と窃盗
バックドアは、攻撃者がターゲットシステム内の情報を窃盗するための足がかりとなります。
個人情報の窃取: ログイン認証情報や機密文書の取得。
ネットワーク情報の収集: ターゲットのネットワーク内の他のデバイスに関する情報を収集。
キーロギング: ユーザーが入力したキーボードの内容を記録し、IDやパスワードなどを盗む。
3.持続的なアクセスの確立
バックドアは、再起動後も攻撃者がシステムにアクセスできるよう「持続性」を確立します。
自動起動の仕組み: レジストリの変更やスケジュールタスクの作成によって、システム起動時にバックドアが自動実行されるよう設定されます。
4.マルウェアの追加インストール
攻撃者は、バックドアを利用して他のマルウェアをターゲットに送り込み、さらなる攻撃を展開できます。
ランサムウェア: データを暗号化して身代金を要求。
情報窃盗ツール: さらに高度な情報窃盗のためのツールを展開。
暗号通貨マイナー: 被害者のPCを利用して暗号通貨をマイニング。
5.ネットワーク全体への攻撃拡大
もしターゲットが企業や政府機関などのネットワークに属している場合、攻撃者はそのネットワーク内で横展開(ラテラルムーブメント)を行います。
他のデバイスへの感染: 内部の他の端末に侵入。
重要インフラへの攻撃: ネットワーク全体の混乱や機能停止を引き起こす。
結論として、「Yokai」バックドアの展開により、攻撃者はターゲットシステムをスパイし、悪意ある活動を仕掛けるための「入り口」を手に入れることになります。この手口は、ターゲットに気づかれることなく、長期間にわたり情報を盗み取ったり、攻撃を拡大するのに適していると言えます。
セキュリティ対策
このような高度なサイバー攻撃に対抗するためには、以下のセキュリティ対策が重要です。
フィッシング対策
不審なメールや添付ファイルを開かないよう、従業員への教育とフィルタリング技術の導入。
ソフトウェアの更新
システムやアプリケーションの最新のセキュリティパッチを適用し、既知の脆弱性を悪用されないようにする。
多層防御
ファイアウォール、アンチウイルスソフトウェア、侵入検知システムなど、複数の防御層を組み合わせて使用。
アクセス制御
最小権限の原則に基づき、ユーザーやアプリケーションのアクセス権限を適切に設定します。
監視とログ管理
システムの活動を継続的に監視し、異常な挙動を早期に検出できるようにします。
これらの対策を講じることで、組織のセキュリティ体制を強化し、サイバー攻撃からの防御を高めることができます。
出典
出典: The Hacker News – Thai Officials Targeted in Yokai Malware Attack
