「TrendLabs(トレンドラボ)」は、「WINNTI」ファミリと同様の技術によって作成され、さらに類似点も備えるバックドア型不正プログラムを確認しました。「WINNTI」ファミリは、主にオンラインゲーム開発会社などの民間企業に対する、標的攻撃で使用された不正プログラムファミリです。トレンドラボでは、今回確認された不正プログラムも、同様の標的型攻撃を目的としているものと考えています。
トレンドラボは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」から得たフィードバックにより、この特定の脅威を確認しました。弊社製品では、「BKDR_TENGO.A」として検出されます。この不正プログラムは、多くの「WINNTI」ファミリの検体が行うように、自身をコンピュータの正規 DLL ファイルである “winmm.dll” として偽装します。トレンドラボは、この DLL 偽装は、解析用正規ツールである、「Aheadlib」を利用して行われていると考えています。Aheadlib は、あらゆる DLL ファイルに対応し、C 言語で書かれたコードを構築し、オリジナルのライブラリによるすべての関数をフックする機能を備えています。不正プログラムの解析においては、大変便利なツールですが、正規のシステムライブラリを偽装するファイルの作成に悪用される可能性もあるツールです。
「BKDR_TENGO.A」のファイルは暗号化されていないにもかかわらず、その解析は非常に困難なものでした。この不正プログラムのメインとなる活動は、コンピュータに挿入された USB ドライブから、Microsoft Office のファイル や PDF ファイル、TIFF ファイルを収集することです。収集されたファイルは、フォルダ “<システムのルート(通常C:ドライブ)>\$NtUninstallKB080515$” に保存されます。またこの不正プログラムは、”Usblog_DXM.log” という名前のログファイルも作成します。このログファイルは、その後攻撃者によって取得される可能性があります。またこの他、この不正プログラムは、攻撃者がコンピュータの遠隔操作を可能にするようなさまざまなバックドアコマンドを備えています。
数あるコマンドのうち、「Help」および「MainInfo」というコマンドは、このバックドア型不正プログラムのファイル名、および利用しているコマンド&コントロール(C&C)サーバを表示させます。「BKDR_TENGO.A」が利用する C&C サーバの IP アドレスおよびサーバ名は、以下のとおりです。
これらの C&C サーバに対し、トレンドマイクロ製品ではすべてアクセスブロックの対応を完了しています。これらの IP アドレスのうち「<省略>.<省略>.204.62」および「<省略>.<省略>.145.118」は、特に興味深い事柄が判明しています。この2つの IP の所在地は米国ですが、多くの中国語のドメインがこれら2つの IP にマッピングされていました。
トレンドラボは、「BKDR_TENGO.A」が、標的型攻撃で利用されたのではないかと考えています。標的型攻撃において使用される不正プログラムは、特別高度なものや精巧なものでなくとも、情報収集の目的達成が可能であることも示していると言えるでしょう。
トレンドマイクロ製品をご利用のユーザは、Trend Micro Smart Protection Network によって守られています。「Webレピュテーション」技術により、この脅威に関連するすべての不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Eduardo Altares II (Threat Research Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)
