本ブログでは2020年11月24日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連のキャンペーンについて言及するとともに、その後の継続した調査により確認された、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たな拡散活動(キャンペーン)の調査結果をまとめたホワイトペーパーについても要約する形で報告しました。弊社トレンドマイクロは、新たに確認されたキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名しました。新たなキャンペーンでは、過去のキャンペーンでも使用されたSLUBが多用されていたほか、当該キャンペーンと連携してスパイ活動を行う2種の新たなバックドア型マルウェア「agfSpy」および「dneSpy」の感染も確認されました。これら2種のバックドアは、攻撃者が割り当てる命名規則に倣う形で、最初の3文字を用いて命名されました。
過去に実施した一連のキャンペーンに関する調査では、SLUBは主にデータ窃取の目的に使用されていた一方で、新たなキャンペーンで確認されたagfSpyおよびdneSpyは、データ窃取のほかに感染端末の制御、つまり遠隔操作のためにも使用されていたことが確認されました。本ブログ記事では、新たなキャンペーンで使用されたSLUB、dneSpy、agfSpyの3種のバックドアに関する情報に加え、これらのバックドアが通信するコマンドアンドコントロール(C&C)サーバとの連動性や、Operation Earth Kitsuneに関連する不正活動の詳細について解説します。
図1は、この水飲み場型攻撃におけるバックドア感染までの流れを簡潔にまとめたものです。弊社は、スパイ活動を行うバックドアの通信活動を分析することで、指示を送信する5つのC&Cサーバを特定することができました。