「CCleaner」に混入されたマルウェアは特定企業を狙った標的型攻撃だった 16
ストーリー by hylom
大規模に巻き込まれる 部門より
大規模に巻き込まれる 部門より
あるAnonymous Coward曰く、
先日、Avast SoftwareのWindows向けユーティリティソフト「CCleaner」にマルウェアが混入していたたことが発覚したが、これは特定の企業を狙った標的型攻撃だったことがマルウェアの解析結果から分かったという(ITmedia、WIRED、ZDNet、Slashdot)。
ターゲットとされていたのはCisco、Intel、Google、Microsoft、Akamai、Samsung、ソニー、VMware、HTC、Linksys、D-Linkなどで、これら企業のドメインがマルウェア制御用サーバー内のファイルに含まれていたという。実際、これらのうち8組織・20台のマシンが「第2段階」の攻撃を受けていたという。また、マルウェアに感染したマシンは環境に応じて異なる挙動を行うようになっていたようだ。
標的型の進化系として (スコア:1)
取引先関係が公になっている企業もふくめ、リレーションマップをはって
そのリレーション情報を元に第3段階、第4段階とステージがすすんでいくとか
「特定の企業を狙った攻撃」だと、そんな感じに発展しそうですね。
Re: (スコア:0)
・・・・・・すでにそういうのはあったような気もするんだけど思い出せん。
こういうのってソーシャルハック感もあって色々複合していくよね。
残念ながら (スコア:0)
スラドもうちの会社も対象外 [talosintelligence.com]でした。
ホントにtest.comをターゲットにしたかったのか、単に作者がRFC2606 [ietf.org]を知らなかったのか…
Re:残念ながら (スコア:1)
test.com、何かと変なデータやメールを送られて来て大変だろうなぁ。
Re: (スコア:0)
foo@bar.comもそうですね。
私もメールアドレスが求められて検証がない場合はたまに使ってます。
受信者が実在する [bar.com]のでIPアドレスくらいはそこに漏れる事があり得るのでよろしくはないですが。
Re: (スコア:0)
そういう他人に「何かと変なデータやメールを送られて来て大変」な迷惑をかけない意味も含めてのRFC2606でしょうに。
「.test」「.example」「.invalid」辺りは単純な文字列形式のチェックで弾かれるかもしれんけど、
「example.com」「example.net」「example.org」辺りはよくある形式で名前解決も出来るし、
もし何か来てもそれはゴミであるって前提で運用されてるから問題の程度が大きく異なる。
RFC2606でなくても、チェック無いならせめて捨てアドの類とか、ゴミが来ること前提で運用されてるサービス使おうぜ……
Re: (スコア:0)
フリーウェアのインストールには厳しそうな会社が並んでますが、実際に攻撃受けたということは入れてる人いたんでしょうね。
Re: (スコア:0)
?
1. どこかのマシンが感染して、攻撃を行う。
このマシンはフリーウェアをインストールして感染した。
2. 攻撃先に前述の企業が入っていた
この企業のマシンが感染してるかどうかについての言及はないし、読み取れない。
Re: (スコア:0)
チゲぇよ。
まず、このマルウェアは感染すると「特定のサーバ」に対して「コンピューター名やIPアドレス、アプリケーション一覧など」を送信する。
# 「特定のサーバ」は米当局が押さえて解析に回した。
で、「特定のサーバ」を分析したら「接続してきた感染端末のドメイン名がリストにマッチしたら第二段階の攻撃を行う」ようになっていて、さらに「第二段階の攻撃が複数台に対して実行された痕跡が確認できた」というのがこのニュース。
第二段階の攻撃ってのは最初に侵入したマルウェアがその第二段階用のマルウェアないし攻撃指令を実行する処理のこと。
「特定のサーバ」はリストにマッチしない相手には攻撃用の返答をしないので、最初に送信された情報の収集以外の行動を行わない。
標的内でしか行動しないボットネット端末みたいなもので、第二段階の攻撃も感染端末に対して行われる。
それを受けた感染端末が更に別の組織や組織内での攻撃を行うかどうかはまた別の話。
ということにしたいのですね (スコア:0)
内部の者の犯行ということになってしまえば、Piriformはほぼ間違いなく倒産の憂き目にあいますものね
ここは是が非でも「我々も被害者なんだよ」という立ち位置を確保しなくては
でも自分とこの証明書つけて配布しといてから被害者面は厳しいんじゃないのかな…
同じ言い訳をするのであっても、そこはまず「証明書が盗まれていた」
そして「盗んだ第三者が勝手にファイルを差し替えていた」ということにしてからでないと
Re: (スコア:0)
Piriformは既に倒産済みで別会社に売却済みですよ。ブランドだけ使ってるだけです
しかしそうそうたる会社群の中にD-Linkも入っていてなんか誇らしいです
Re: (スコア:0)
買収されただけで倒産はしてないでしょ。メンバーごと移籍してるからブランドだけ使ってるわけでもないし。
倒産して買収されたにせよ倒産せずに買収されたにせよ買収したのがAVASTでAVASTがセキュリティ関連製品・サービスを専門とする企業であることを考えると…
AVASTの地位低下を狙った競合企業による犯行と考えるのが自然でしょうね。
Re: (スコア:0)
> AVASTの地位低下を狙った競合企業による犯行と考えるのが自然でしょうね。
競合ではなく買収された事に不満を持つ従業員の内部犯行ってセンも捨てきれないってーのが元コメでいう内部の者の犯行ってやつでしょう。
ただ、単純な攻撃ではなくそこそこ気合の入った段階的な攻撃が仕掛けられていたとなると、
思いつきというには計画的だし、買収前から計画されていた攻撃にも見えてくるんですけどね。
8組織・20台?? (スコア:0)
https://blog.avast.com/additional-information-regarding-the-recent-ccl... [avast.com]
The total number of unique PCs that received the 2nd stage payload was 40.
って記事もありますね。
うむ、わからん (スコア:0)
犯人の目的は?
gatekeeper (スコア:0)
私がいる限りウイルスなぞ入る余地はないわ!
#とっさに思い出したのはこれだった