チェック・ポイント、架空のGoogle翻訳デスクトップ版アプリなどを偽装し仮想通貨マイニングを行うトルコ語圏の組織による攻撃キャンペーンを発見 2019年以降11カ国で11万1000件の被害が発生
[22/09/15]
提供元:PRTIMES
提供元:PRTIMES
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、架空の「Google Translate Desktop」アプリケーションやその他の無料ソフトウェアを偽装してPCにマルウェアを感染させ仮想通貨のマイニングツールを実行させる攻撃キャンペーンを発見し、情報を公開しました。この攻撃は「Nitrokod」と呼ばれるトルコ語圏のグループによって活動が始まり、2019年以降11カ国で11万1000件の被害が確認されています。CPRは、この攻撃方式を用いることで仮想通貨マイニングツールの代わりにランサムウェアやバンキング型トロイの木馬に感染させるなど、攻撃者が容易にマルウェアを変更可能であると警告しています。
実在しないアプリケーションや無料ソフトウェアを偽装
この攻撃キャンペーンでは、SoftpediaやUptodownといった知名度の高いウェブサイトから入手できる無料ソフトウェアを偽装し、それらを介してマルウェアを拡散しています。また、ユーザーがGoogle上で「Google Translate Desktop download(Google翻訳デスクトップ版ダウンロード)」と検索すると、実在しないデスクトップ版アプリケーションに偽装した悪質なソフトウェアが容易に上位表示されます。悪質なソフトウェアをインストールすると、攻撃者は数週間にわたって感染プロセスを引き延ばし、その間に最初のインストールの痕跡を削除します。
画像1:「Google Translate Desktop download」の上位検索結果
[画像1: https://prtimes.jp/i/21207/138/resize/d21207-138-5761ac14eb7eb15ee190-0.png ]
数年にわたり検知を逃れる
この攻撃キャンペーンは数年間にわたり発見されず、成功を収めてきました。Nitrokodの創始者たちは検知を逃れるため次のような重要な戦略を実行しています。
・マルウェアはNitrokodのプログラムのインストールから約1カ月経過後に初めて実行されます
・マルウェアの展開前に感染プログラムの6つの初期段階があります
・感染チェーンはあらかじめスケジュールを設定されたタスクメカニズムによって長期間の遅延を経て実行され、その間に攻撃者はすべての証拠隠滅を行います
感染チェーン
感染は、ウェブサイトからダウンロードした感染源となるプログラムのインストールにより開始します。
ユーザーが新しいソフトを起動すると、実際のGoogle翻訳を模した偽装アプリケーションがインストールされます。さらに、アップデートファイルがディスクにドロップされ、実際のマルウェアが展開するまでに4つのドロッパーが連続して開始されます。
マルウェアが実行された後、マルウェアはC&C(コマンド&コントロール)サーバーに接続し、仮想通貨マイニングツールXMRigの設定を完了しマイニング活動を開始します。
画像2:感染チェーンマップ
[画像2: https://prtimes.jp/i/21207/138/resize/d21207-138-d522edc49e737eb098c0-2.png ]
被害は11カ国、およそ11万1000件を確認
2019年以降、以下の11カ国でおよそ11万1000件の被害が確認されています。
・イギリス
・アメリカ
・スリランカ
・ギリシャ
・イスラエル
・ドイツ
・トルコ
・キプロス
・オーストラリア
・モンゴル
・ポーランド
情報共有と注目点
チェック・ポイントのリサーチ担当VP、マヤ・ホロウィッツ(Maya Horowitz)は以下のように述べています。
「私たちは、Google翻訳サービスのデスクトップ版などのPCアプリケーションを模した悪意あるソフトウェアが、知名度の高いウェブサイト上で提供されていることを発見しました。それらのソフトウェアには仮想通貨マイニングツールの感染プログラムが仕込まれており、あらゆる人が手にする可能性があります。ウェブ検索によって容易に表示され、リンクからダウンロードが可能でインストールもダブルクリックで完了します。このツールの作成者は、トルコ語圏の開発者であることが判明しています。
現在確認されているのはひそかにインストールされる仮想通貨マイニングツールによる脅威です。このツールは攻撃者の収益獲得のためコンピューターのリソースを勝手に利用します。また、攻撃者は同様の攻撃フローを用い、最終的なペイロードを容易に変更できます。例えば仮想通貨マイニングツールをランサムウェアやバンキング型トロイの木馬に変えることも可能です。
最も興味深い事実は、この悪質なソフトウェアが高い普及度に反して長期間にわたり発見を逃れてきた点です。チェック・ポイントのお客様には既にこの脅威に対する防御を提供しています。同様に他のお客様もこの脅威を理解いただき防御に役立てていただけるよう、本調査結果を公開しました」
サイバー攻撃から身を守るヒント
・ 類似したドメイン、ウェブサイト内のスペルミス、見慣れないメール送信者を警戒する
・ ソフトウェアのダウンロードは、知名度が高く認可された発行者やベンダーからのみ行う
・ エンドツーエンドの総合的なサイバーアーキテクチャを採用し、ゼロデイ攻撃に備える
・ 最新のエンドポイントセキュリティで、包括的なプロテクションを確実なものにする
本件に関する詳細は、チェック・ポイント・リサーチのブログ< https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/ >でご覧いただけます。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan