「APT」カテゴリーアーカイブ

ログ消去もされていた三菱電機の不正アクセスについてまとめてみた

2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。

発端は研究所サーバーの不審ファイル動作

  • 2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。
  • 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。

報道された出来事を時系列にまとめると以下の通り。

日時 出来事
2019年6月28日 情報技術総合研究所のサーバーで不審ファイルを検出。
2019年秋 三菱電機の社内調査により情報流出の可能性が判明。
2020年1月 三菱電機が個人情報保護委員会に情報流出の可能性を報告。*1
2020年1月20日 朝日新聞が三菱電機の不正アクセスを報道。
同日 三菱電機が不正アクセス被害を発表。機密性の高い情報の流出は否定。
同日 官房長官が三菱電機の事案について経産省、NISCを中心に引き続き注視する考えをコメント。*2
同日 三菱電機が第二報として個人情報の流出など被害詳報を発表。

影響は週報から採用応募者の情報まで

流出の可能性のある、または影響が確認されていない情報は以下の通り。*3 *4 *5 *6

外部流出の可能性がある情報 ①個人情報
・従業員4,566人(2012年度実施のアンケート結果)
・採用応募者1,987人(2017/10~2020/4新卒、2011~2016経験採用)
・グループ関係退職者1,569人(企業年金基金所有の情報)

②企業機密情報
・執行役員会議資料
・研究所内で共有された週報
・JR、私鉄、自動車大手、通信、電力企業等数十社との共同開発、商談、製品受注等の取引関連情報
・防衛省、資源エネルギー庁、原子力規制委員会、内閣府、環境省、JAXA等10を超える政府、官公庁とのやり取りに係る情報
影響の確認されていない情報 ・防衛、電力、鉄道等に係る機微情報、機密性の高い技術情報、取引先情報
  • 流出の可能性がある情報での被害、影響は現時点で確認されていない。
  • 影響を受けた件数はログ消去により確定できていないため、最大数が計上されている。
  • 流出の可能性のある個人情報の対象者宛には1月20日より郵送で通知。
  • 影響の確認されなかった情報は別のネットワークで管理していたため被害を免れた。*7 *8

ログ消去され被害範囲確定できず

f:id:piyokango:20200121054138p:plain
不正アクセス事案の概要

  • 不正アクセスは中国関係会社の侵害から始まり、国内14事業部の大半、管理部門の一部などに広まったとみられる。
  • 中間管理職が操作するPCを対象とした不正アクセス行為も発生していた。*9
  • 情報は送信用端末に集約され、数回に分けて外部へ約200MBのデータが送信されていた。
  • 実際に情報が外部へ流出したかについては一部端末でログが消去されていたため確認できなかった。*10
  • 最初に被害を受けた中国関係会社への不正アクセスがいつ頃始まったのかは判明していない。
原因はウイルス対策システムの脆弱性と発表
  • 三菱電機はウイルス対策システムの脆弱性を突かれた不正アクセスが原因と発表。
  • 悪用当時、脆弱性は未修正(ゼロデイ)の状態だった。

報道後公表した理由

「Tick」による不正アクセスと報道

  • Tickは中国由来とみられるグループで日本、韓国を攻撃対象とする。命名したのはSymantec。別呼称は「Bronze Butler(Secureworks)」「REDBALDKNIGHT(Trend Micro)」の2つ。
  • 朝日は「社内調査」、読売は「関係者」をソースとしている。広報担当者は回答を控える方針の模様。
Tickの特徴
  • グループの活動目的は企業の知的財産情報の窃取と分析されている。また目的達成後は証跡を全て削除する。
  • 使用するマルウェアとしてRATではDASERF、xxmm、Datper等が確認されている。ラテラルムーブメントにはWindows標準コマンドやMimikatz等のクレデンシャル情報を取得するツールを使って内部で侵害を拡大する。
  • SKYSEA Client Viewの脆弱性(CVE-2016-7836)の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口なども報告されていた。

更新履歴

  • 2020年1月20日 PM 新規作成
  • 2020年1月21日 AM 第二報の内容を反映、見出しを一部修正(事実確認できず→被害範囲確定できず)
  • 2020年1月21日 AM 続報反映

標的型攻撃で悪用されたInternet Explorerの未修正の脆弱性CVE-2020-0674についてまとめてみた

2020年1月17日、MicrosoftはInternet Explorerに深刻な脆弱性が存在し発表時点でまだ修正中であることを明らかにしました。ここでは関連する情報をまとめます。

1.概要編

① いま何が起きているの?(1月17日時点)
  • サポートされている全てのInternet Explorerに深刻な脆弱性。脆弱性はCVE-2020-0674が採番。1月11日時点のCVSSスコア(現状値)は7.1
  • 17日時点で修正中であり更新プログラムが公開されていない。限定的ながらこの脆弱性を悪用する攻撃が確認されている。
  • 2020年1月14日にサポート期限を迎えたばかりのWindows 7も影響を受ける。更新プログラムの提供は明記がないが、Microsoftが発表した対象のリストに含まれている。

② この脆弱性の影響を受けるとどうなるの?

  • リモートから任意のコード実行が可能な脆弱性が存在し、悪用サイトをInternet Explorerで閲覧した際にマルウェアに感染する恐れがある。
  • 閲覧をしたユーザー権限の範囲で影響を受けるため、管理者権限での悪用にはユーザー自身が特権保有をしているか、あるいは別の特権昇格の脆弱性を併用する必要がある。
③影響を受ける製品は何?
  • Internet Explorer 9、10、11が影響を受ける。Windows 10 標準ブラウザのEdgeは対象外。
  • OSは32bit、64bit両方とも対象。Windows 10 は全てのバージョンが影響を受ける。
  • サーバーOSも影響を受けるが、既定で制限モード(セキュリティ強化の構成)で実行されるため緩和策として有効。OSはいずれも深刻度「中」と評価されている。
IE OS 深刻度
Internet Explorer 11 Windows 7
Windows 8.1/RT 8.1
Windows 10
重大
Internet Explorer 9 Windows Server 2008
Internet Explorer 10 Windows Server 2012
Internet Explorer 11 Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
④ Microsoftの公式情報はどこ?

Microsoftのセキュリティアドバイザリが公開されている。(1月17日公開)

JPCERT/CC等の組織からも注意喚起が出されている。

2.対策編

①まず何をしたらいいの?
  • 影響を受ける製品を利用しているか確認する。
② 影響を受けることが確認できた。次にどうしたらいいの?
  • 修正版公開まで次の対策ができるか(既に提供されているか)を確認する。
  1. Internet Explorerの外部のサイトに対する閲覧利用の制限
  2. Microsoftの公開する回避策の適用
  3. FWやIPS/IDSによるExploitコードの遮断
③ 一時的な回避策はないの?
  • Microsoftはアドバイザリで回避策としてJScript.dllへのアクセス制限を紹介している。
  • 回避策によりこのDLLに依存する処理に影響が及ぶ可能性がある。
  • 回避策適用時は更新プログラム公開後、インストールする前に元に戻す必要がある。
  • 既定では脆弱性の影響を受けないJscript9.dllが使用されるため、JScriptを使用する特定のWebサイトで影響を受ける。

3.脆弱性情報編

① CVE-2020-0674は何が原因で起こる脆弱性なの?
  • Internet ExplorerのJScriptを処理するDLLにメモリ破損の不具合が存在する。
  • この不具合を使ってリモートから任意のコード実行をすることが可能。
② 誰が見つけたの?

Microsoftのアドバイザリ謝辞欄には2名の方の名前が掲載されている。

  • Google ClémentLecigne氏
  • Qihoo 360 Ella Yu氏

4.攻撃活動編

  • piyokangoが把握している範囲ではCVE-2020-0674の検証コード等は出回っておらず、脆弱性を誰でも試せる状態にはなっていない。(1月20日時点)
  • ブラウザの脆弱性であり、かつ同じ企業が謝辞(報告者)に含まれる。さらにツイートの削除の経過もあり、先日修正されたFirefoxの脆弱性も同じキャンペーンで悪用されていたのではないかとZDnetの記事では推定している。

更新履歴

  • 2020年1月20日 AM 新規作成
  • 2020年1月20日 AM JavaScript と誤って記述していた箇所をJScriptに修正

Coinbaseがうけた標的型攻撃とその対応についてまとめてみた

暗号資産を取り扱う米国のCoinBaseは、2019年6月に発生したFirefoxの脆弱性(当時ゼロデイ)を悪用した攻撃への対応を2019年8月9日にセキュリティ担当者がBlogで明らかにしました。ここでは一連の対応の顛末についてまとめます。

対応公開までの経緯

  • 情報の公開を行ったのは米暗号資産取扱い事業者 Coinbaseのセキュリティ担当者 Philip Maritin氏。
  • 2019年6月20日にTwitterで第一報レベルの情報共有が行われていた。

blog.coinbase.com

Coinbaseへの攻撃の流れ

f:id:piyokango:20190814005917p:plain
攻撃の流れ概要図
Coinbaseは攻撃の手口を次の2つの組み合わせによるものと説明。

  1. 大学関係者を騙った標的型攻撃メール
  2. Webブラウザ(Firefox)のゼロデイ脆弱性
(1)攻撃の準備

リンク付きメールが投げられる前に次の準備が行われていた。

  • ケンブリッジ大学のメールサービスを侵害し、2つのアカウント*1を作成。(時期不明)
  • 同大学のWebサイトにランディングページを作成し5月28日にExploit用ドメインを作成。
  • 作成されたメールアカウントに紐づくIDはオンライン上にほぼ存在せず。
  • LinkedInのプロファイルも偽物とCoinbaseは分析している。
(2)大学から標的型攻撃メール

クリックをより確実にさせるために予め無害なメールが送られていた。

  • 2019年5月30日にCoinbase従業員十数人へケンブリッジ大学からメールが届いた。
  • メールの送信者は大学の研究助成金管理者 Gregory Harris。
  • 内容は実際に行われていた大学のプロジェクトを引用したもの。
  • ランダムに送られたのではなく従業員の経歴に基づき送られてきた。
  • 正規ドメインからの送信で悪性の要素も含まれていなかったため、スパムフィルタで検出はされなかった。
  • 以降数週間、同様のメールが届いたが異常は認められなかった。
  • Objective-seeの記事では別の人名(Neil Morris)が記述されていた。
(3)URLクリック・ブラウザ誘導
  • 2019年6月17日 6時31分にも大学からメールが届いたがこれは様相が違った。
  • 文中にクリックしたらマルウェアに感染する恐れのある悪性のリンクが含まれていた。
  • Firefox以外でアクセスすると「サポートしていないブラウザ」とし表示し、Firefoxで参照するよう促す表示が行われた。
  • 後の解析でリンクが記述されたメールが送られたのは標的とされたCoinbaseを含む200人の内、約5人(2.5%)であった。
(4)Firefoxの0day Exploit
  • 悪用されたFirefoxの脆弱性は2件。いずれも検出時点で修正版が公開されていなかった。(0day)
CVE Mozillaセキュリティアドバイザリ 影響 修正日
CVE-2019-11707 Type confusion in Array.pop リモートコード実行の恐れ 6/18
CVE-2019-11708 sandbox escape using Prompt:Open Sandbox回避の恐れ 6/20
  • Coinbaseは攻撃グループを「CRYPTO-3」「HYDSEVEN」と呼ばれる攻撃グループによるものと説明。
  • CVE-2019-11707の他発見者 Google Project ZeroのSamuel Groß氏はバグトラッキングからのExploitコード作成については否定的で、過去の脆弱性の類似性のあるバグを探したのではないかと推測する見解を示している
  • CVE-2019–11708のExploitコードは難読化は行われておらず、ソースコードから相当の経験を持つグループによる作成とCoinbaseは推定。
(5)感染後のマルウェア動態
  • 感染するマルウェアは次の通り。
ステージ 感染するマルウェア(検体のハッシュ)
Netwire RAT
07a4e04ee8b4c8dc0f7507f56dc24db00537d4637afee43dbb9357d4d54f6ff4
Mokes
97200b2b005e60a1c6077eea56fc4bb3e08196f14ed692b9422c96686fbfc3ad
  • ステージ1のNetwireは先遣部隊としてMokesの感染のみに利用される。
  • ブラウザのデータストアに保存されたセッショントークンを窃取し、Gmail等のサービスを特に標的している動きがあった。
  • ブラウザのデータストアに直接アクセスするプロセスが少ないとして、Coinbaseはこの挙動を特定アクティビティによる検出が可能だと説明。

Coinbaseの対応

Coinbaseが行った一連の対応は次の通り。

攻撃検出 ①従業員からの報告と自動アラートに基づき調査を開始
初期調査 ②エンドポイント検出ツール、インシデント対応ツールで従業員のPCを調査。
③最近のプロセスアクティビティからFirefox起因とすぐに特定。
範囲特定 ④問題が生じたホストからIOCを収集。
⑤ネットワーク内で探査を開始。
⑥IOCをブラックリストへ登録。
攻撃調査 ⑦攻撃ホストが稼働している間に誘導先ページ、Exploitなどを保存。
遮断対応 ⑧問題が生じたホストのすべての資格情報を失効。
⑨影響を受ける従業員のアカウントをロック。
情報共有 ⑩MozillaのセキュリティチームへExploitコードを提供。その後すぐ修正。
⑪ケンブリッジ大学へ通報しキャンペーンの攻撃範囲(メール送信先)を特定。
⑫インフラ、従業員保護のためにメールが届いた約200人を採用している組織を特定。
被害なく済んだ総括

Coinbaseは被害なしに済んだポイントを以下の通り総括。また今後も暗号資産を取り扱う業界への攻撃が続くと予想し情報共有の相互協力が顧客保護につながるとした。

  • セキュリティ第一の文化
  • 検出、対応に用いるツールの完全な展開
  • 明確で実践的なプレイブックの整備
  • 迅速なアクセス遮断機能

更新履歴

  • 2019年8月13日 AM 新規作成
  • 2019年8月13日 PM 表、誤字を修正
  • 2019年8月14日 AM 攻撃範囲(約200人はCoinbase単独ではなく、同社を含む全体数)が誤っていたため図、文章を修正。

*1:Gregory HarrisとNeil Morris?

バックドア化したASUS Live Updateを通じた攻撃(Operation ShadowHammer)についてまとめてみた

Kaspersky LabはASUSが提供するソフトウェア「ASUS Live Update」がバックドア化し、一部ユーザーを対象にマルウエアを配布する攻撃が展開されていたとして調査結果の一部を発表しました。この攻撃を同社は「Operation ShadowHammer」と呼称しています。ここでは関連する情報をまとめます。

Kaspersky Labの調査報告

securelist.com

また同社の調査報告についてMotherboardが取材した記事が公開されている。
motherboard.vice.com

  • 2019年3月21日に取材依頼を行っているがASUSからの返事がない模様。

securelist.com

ASUSの反応

  • MotherboardによればKaspersky Labの情報提供から3月25日までユーザーへの通知は確認されていない。
  • Kaspersky Labの調査によれば問題の証明書の内、無効化されたのは1件で、2件は有効な状態が継続している。
  • The Vergeの取材に対して26日中に公式に声明を出すとASUSがコメントしその通り公開。*1

タイムライン

日時 出来事
2018年5月3日 何者かによるセカンドステージのマルウェア通信先の登録日。
2018年6月~11月 当該期間中に攻撃が発生していた可能性。
2018年11月頃 セカンドステージの通信先がシャットダウン。
2019年1月27日 Kaspersky Labの研究者がこの問題を確認。
2019年1月31日 Kaspersky LabがASUSに対してこの問題に関する情報提供。
2019年2月14日 Kaspersky LabがASUSと会合。
2019年3月25日 MotherboardがASUSのサプライチェーン攻撃について報道。
同日 Kaspersky LabがOperation ShadowHammerとして調査結果の一部を公開。
2019年3月26日 ASUS がバックドアの問題について公式声明を公開。
2019年4月8日~11日 Operation ShadowHammerについてSASで発表。
2019年4月23日 Kapersky Labが第二報の調査結果を公開。
  • 時差を考慮していないため日時が前後している可能性があります。

攻撃の手口

f:id:piyokango:20190327042557p:plain

  • ASUS社のアップデータを用いたサプライチェーン攻撃。
  • バックドア化したASUS Live Updateを通じてマルウェアに感染する可能性があった。
  • 問題のASUS Live UpdateはASUSのサイトから配布されていた。

対策

  1. 確認(診断)ツールで影響を受けるかを確認する。
  2. 影響を受ける端末であった場合は出荷時設定に復元する。
  3. 対象ではない場合、ASUS Live Updateを最新版(Ver 3.6.8以上)に更新する。

www.asus.com

  • ASUSはセキュリティ確保のためパスワードを定期的に更新することを推奨。

影響範囲

(1)影響を受ける環境

  • ノートPCに利用されているASUS Live Updateのみ影響を受ける。

(2)感染台数
国別のバックドア化したアップデータをインストールしたとみられる台数内訳。

Kaspersky Lab
(約57000台検出)
Symantec
(約13000台検出)
ロシア 約18%(約1万台)
ドイツ 約16%(約9千台) 約4%(約5百台)
フランス 約13%(約7.4千台) 約9%(約1.2千台)
イタリア 約6%(約3.4千台) 約11%(約1.4千台)
米国 約6%(約3.4千台) 約13%(約1.7千台)
スペイン 約4%(約2.3千台)
ポーランド 約3%(約1.7千台)
英国 約2%(約1千台) 約7%(約9百台)
スイス 約2%(約1千台)
スウェーデン 約3%(約4百台)
ポルトガル 約2%(約1千台)
カナダ 約2%(約1千台) 約6%(約8百台)
台湾 約2%(約1千台) 約4%(約5百台)
オーストラリア 約2%(約1千台) 約12%(約1.6千台)
日本 約2%(約1千台) 約6%(約8百台)
ブラジル 約2%(約1千台)
  • 台数はpiyokangoが算出したため正確な数字ではない。
  • Kaspersky Labは詳細な数字を出していないため、凡その割合で算出。
Kaspersky Labの調査

  • Kaspersky Lab製品ユーザーの内、5万7千人以上がこの手口を通じてインストールしていることを確認。
  • Kaspersky Labは15か国の感染割合を表示。
  • ロシアが約18%、日本ユーザーも約1%後半程度存在する。
  • 2018年10月28日にユーザーの一人がセカンドステージのマルウェアに感染した可能性がある。
  • 世界中のユーザー(100万人以上)に影響が及んでいる可能性を指摘。
Symantecの調査

www.symantec.com

  • Motherboardからの情報提供を受け、Symantecも影響を受けたかを調査。
  • Symantec製品ユーザーの内、少なくとも1万3千台のPCが感染。
  • トップの約13%が米国ユーザー。日本ユーザーは約7%。
  • 約8割がコンシューマー、残りが組織からの感染。
  • アップデータを通じて別のマルウェアの感染者がいるか確認中。
  • 問題のアップデータがASUS社のサーバーからダウンロードされたものとSymantecも確認した。
  • 最大で50万台の端末に影響が及んだ可能性を指摘。
360威胁情报中心の調査

  • 対象のMACアドレスを調査した結果を公表。
ベンダ 件数
ASUSTek COMPUTER INC. 268件
Intel Corporate 157件
AzureWave Technology Inc. 101件
Liteon Technology Corporation 31件
Hon Hai Precision Ind. Co.,Ltd. 13件
BizLink (Kunshan) Co.,Ltd 7件
AMPAK Technology. Inc. 5件
TwinHan Technology Co.,Ltd 3件
VMware, Inc. 3件
Chicony Electronics Co,Ltd. 2件
REALTEK SEMICONDUCTOR CORP. 2件
Digital Data Communications Asia Co.,Ltd. 1件
GOOD WAY IND. CO., LTD. 1件
HUAWEI TECHNOLOGIES CO., LTD 1件
TP-LINK TECHNOLOGIES CO.,LTD. 1件
合計 596件
Skylightの調査

skylightcyber.com

Redditに関連する書き込みか

www.reddit.com

  • RedditにASUSのアップデータの不審な挙動を取り上げたスレッドが存在。
  • ASUSFourceUpdater.exeというプログラムで表示されたもの。
  • "Force"のスペルミスや詳細部が空欄表示となっている問題が指摘されていた。
  • GreyWolfx氏らがVirustotalやウィルス対策ソフトでの検証結果を報告している。
  • その当時は特段の懸念事項がスキャナで確認されず問題なしとされていた。

対象はMACアドレスで選別

  • バックドア化したアップデータはMACアドレスによって標的とするか識別。
  • Kaspersky Labが確認した200以上のマルウェアから600以上の固有のMACアドレスを抽出。
  • MACアドレスはアップデータにMD5ハッシュ値でハードコードされていた。
  • 標的リストはKaspersky Labが確認した範囲であり他にも標的が存在する可能性あり。
  • 標的リストにはASUS製のプレフィックスも存在する。*2
  • 対象のMACアドレスでない場合、セカンドステージのマルウェアは取得しない。
攻撃対象かの確認
  • 攻撃対象確認ツールとしてASUS、およびKaspersky Labは確認ツールを用意。
  • オンライン版はKaspersky Labが解読できた600件程度のMACアドレスのリストをもとに調査するもの。
  • 対象のMACアドレスを利用する端末かを確認するもの。
  • チェックで対象となった場合も侵害が確定するものではない。
  • ターゲットとなっていた場合はKaspersky Labへメール(shadowhammer@kaspersky.com)で連絡をしてほしいと依頼。
(1)スタンドアロン(Exe)による確認

ASUS、またはKaspersky Labが公開するExeを実行する。

公開元 確認・診断ツール DL
ASUS ASDT.exe
(F649AFCC30A23665DFD906E9FC5081AE35474A2B)
DL先
Kaspersky Lab shadowhammer.exe
(2956BFCBD49D5755AE2B7960C5F66841C139B232)
DL先
  • ASUS

ASUSはチェックボタンを押すとスキャンが開始される。
f:id:piyokango:20190329054943p:plain
f:id:piyokango:20190329054954p:plain
f:id:piyokango:20190329055005p:plain

問題なければ次の表示がされる。
f:id:piyokango:20190329055010p:plain

ASUSのツールはASUS環境、およびインターネット接続時しか動作しない。
f:id:piyokango:20190329055025p:plain

  • Kaspersky Lab

Kaspersky Labのツールでは対象でない場合は次の表示がされる。
f:id:piyokango:20190326051317p:plain

非公式だが該当する場合は次のような表示がされるものとみられる。

IMPORTANT
It appears you have been targeted!
Please send us an email to shadowhammer@kaspersky.com
(2)オンラインによる確認

f:id:piyokango:20190326051554p:plain
Kaspersky Labが公開する特設サイトにMACアドレスを入れ確認する。
shadowhammer.kaspersky.com

対象外の場合は次のように表示される。
f:id:piyokango:20190326051614p:plain

バックドア化したアップデータ

f:id:piyokango:20190329055116p:plain
(画像は改ざん前のASUS LiveUpdate)

  • ASUS Live Updateは工場出荷時に標準でインストールされているユーティリティソフト。
  • 有効化後は定期的にBIOS、UEFI、ドライバなどのアップデートをチェックする。
  • 問題のアップデータはこのソフト自体のアップデートを通じて配布されたとみられる。
  • Kaspersky Labはユーティリティを利用し続ける場合は最新版へのアップデートを推奨している。*3
  • セキュリティベンダが解析レポートを公開している。

countercept.com
asec.ahnlab.com

ASUS社の証明書を利用
  • バックドア化したアップデータにはASUS社の正規証明書が用いられていた。
  • 証明書の悪用は2件確認されている。
  • 1件目は2018年半ばに期限が切れ、その後別のASUSの証明書に切り替えられた。
  • Setup.exeに署名されている証明書は2019年3月26日時点でまだ有効な状態。

f:id:piyokango:20190326054244p:plain

セカンドステージマルウェア

  • logo.jpg、またはlogo2.jpgという名前で取得したファイルを元にしていたとみられる。

攻撃の背景、アクター

  • Operation ShadowHammerの正確な背景は現時点で判明していない。
  • Kaspersky Labが収集したエビデンスからShadowPadのアクターとの関与を疑っている。
  • ShadowPadのアクターはMicrosoftからBARIUMとも呼称されているもの。
  • BARIUMはWinntiバックドアを利用するアクター。
  • このアクターはCCleanerの攻撃にも関連がみられるもの。
  • ASUSもCClenaerの攻撃の対象となっていた。

IOC

バックドア化したアップデータ配布元
hxxp://liveupdate01.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus.com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip
バックドア化したアップデータ検体サンプル

Liveupdate_Test_VER365.zip

バックドア化したアップデータの通信先
asushotfix.com
141.105.71.116
  • 3月25日時点でこのドメインへの接続できない。
  • セカンドステージマルウェアの取得に用いられたとみられる。
  • 2018年6月~11月にかけて稼働していたとみられる。

実際に通信先として指定されていたものは以下。

hxxps://asushotfix.com/logo.jpg
hxxps://asushotfix.com/logo2.jpg

asushotfixがホストされていたIPは以下のドメインでも用いられていた。

host2.infoyoushouldknow.biz
nano2.baeflix.xyz
www.asushotfix.com
homeabcd.com
simplexoj.com

更新履歴

  • 2019年3月26日 AM 新規作成
  • 2019年3月26日 AM 情報追加、誤植修正
  • 2019年3月26日 PM 情報追加
  • 2019年3月27日 AM ASUSの公式声明を追加
  • 2019年3月29日 AM 情報追加
  • 2019年4月25日 AM 続報追加