CCleaner汚染!マルウェアが混入された状態で配布され踏み台に 

April 20 [Fri], 2018, 12:50


【IT】PC最適化ツール「CCleaner」を踏み台にした標的型攻撃のマルウェア混入ルートが判明
https://egg.5ch.net/test/read.cgi/bizplus/1524128334/

2017年8月から9月にかけて、PC最適化ツール「CCleaner」にマルウェアが混入された状態で配布され、IntelやMicrosoft、ソニー、富士通など世界の大企業に標的型攻撃が実行されるという出来事が発生しました。この件について、CClearnerの開発元を買収していたセキュリティ関連企業Avastが調査結果を2018年4月17日に公開し、ハッカーはリモートログインサービス「TeamViewer」を使って事件の5カ月前にサーバーに侵入してバックドアを作っていたことなどを明らかにしています。


最初に攻撃者からのアプローチが行われたのは、現地時間で2017年3月11日午前5時のこと。これは、AvastがCClearnerの開発元「Piriform」を買収する4カ月前の時点にあたります。攻撃者はTeamViewerからPiriform社内のワークステーションにシングルサインインで不正侵入。その際の認証は正常に行われたとのことで、これはつまり攻撃者が事前に正しい認証情報を入手していたことを示しています。


残っていたログファイルの解析によると、攻撃者はPCが無人の状態で稼働している午前5時にTeamViewer経由で2種類の不正なDLLのインストールを試みましたが、管理権限がなかったために2度失敗。VBScriptを使った3回目のトライでにようやく成功したとのこと。


その翌日、3月12日の午前4時に攻撃者は侵入範囲を広げ始め、MicrosoftのRemote Desktop Service経由で別のPCにバックドアを設置することに成功。

さらに、3月14日には最初に侵入したワークステーションに再度アクセスし、マルウェアを感染させました。

その後数週間にわたり、攻撃者は表立ったアクションは起こしていなかったとのことで、Avastではこの期間に攻撃者がバックドアを通じてPiriform社内のシステムから管理者権限などの情報を盗み出していたと見ています。また、この段階で、次の段階の攻撃に備えるために、ハッカーはサイバー攻撃ツールとして知られるバックドア「ShadowPad」を社内システムに忍び込ませていたこともわかっています。


このようにしてさまざまな情報や手段を取得した攻撃者は、CCleanerのビルドサーバーを含む4台のコンピューターに、正規の「mscoree.dll」ライブラリに見せかけたShadowPadを設置。この段階で攻撃を実行する環境は整いましたが、攻撃は実行されないまま7月19日にPiriformはAvastによって買収されます。その後、8月2日に買収後初のバージョンとなるCCleanerがリリースされました。攻撃者はこの間、一切の攻撃を見合わせていましたが、9月に入ってついに攻撃開始に踏み切りました。


Avastによると、ShadowPadを使った同様の攻撃がこの一件以前に韓国やロシアで実行されていたこと、そして最も古いShadowPadは2014年に開発されていたが明らかにされているとのこと。このようなことから、実はCCleanerを使った標的型攻撃は新しいものではなく、2014年ごろから展開されてきた攻撃方法だった可能性があります。


今回の調査のまとめとしてAvastは、企業のM&A(合併・買収)が行われる際のデューディリジェンスでは、企業の財務面や法務面での調査だけでなく、サイバーセキュリティの面においても同様に重点を置き、調査を行うべきであるとしています。また、今回の攻撃ではマルウェアが正規のダウンロードサーバーで配布されており、配布元のPiriformに対する「サプライチェーン攻撃」であったことから、各企業は自社内だけでなくサプライチェーンのセキュリティ対策をも行う必要があるとしています。


(_ _。) 巷間の意見>>
………………………………
ある程度PCさわっててCCleanerとか使ってる奴さすがにおらんやろ
………………………………

(´・Д・`) 情弱のアイテムだからな。

ヽ(τωヽ)ノ 巷間の意見>>
………………………………
使っているが最適化されている気がしない
………………………………

(´・Д・`) マルウェアとしての環境を最適化しているだけだからな。
踏み台にされているときは負荷がかかってやたら重くなる。
(TдT) 巷間の意見>>
………………………………
俺氏、慌ててPCから削除。ふう、危ない危ない…
………………………………

(´・Д・`) 変なフリーソフトは入れない方がいいですよ。

\(`o'") 巷間の意見>>
………………………………
>>Avastによると、ShadowPadを使った同様の攻撃がこの一件以前に韓国やロシアで実行されていたこと、
そして最も古いShadowPadは2014年に開発されていたが明らかにされているとのこと。このようなことから
、実はCCleanerを使った標的型攻撃は新しいものではなく、2014年ごろから展開されてきた攻撃方法だった可能性があります。

これって2017年以前のCleanerもアウトの可能性があるってこと?
………………………………

(´・Д・`) CCleanerそのものがやばかったということです。
入れちゃった人は預金残高を確認しよう。



作品紹介

内容の詳細はここをクリック

御陰様で通算ダウンロード40000突破しました!御購読ありがとうございます

画像をクリックすると出版サイトに飛びます

無料お試し版もあります



northkoreaJ


 記事が面白いと思ったら下のURLをクリックしてくだされ!! 

<(_ _)>

ブログランキング・にほんブログ村へ

  • URL:http://yaplog.jp/warabidani/archive/6312
Comment
小文字 太字 斜体 下線 取り消し線 左寄せ 中央揃え 右寄せ テキストカラー 絵文字 プレビューON/OFF

不正な自動コメント投稿を防ぐため、チェックボックスにチェックをしてください。

利用規約に同意
 X 
禁止事項とご注意
※本名・メールアドレス・住所・電話番号など、個人が特定できる情報の入力は行わないでください。
「ヤプログ!利用規約 第9条 禁止事項」に該当するコメントは禁止します。
「ヤプログ!利用規約」に同意の上、コメントを送信してください。
P R
プロフィール
  • プロフィール画像
  • アイコン画像 ニックネーム:warabidani
  • アイコン画像 性別:男性
読者になる
緊急時の対応こそ、その人の人間性が問われます。
2018年04月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
カテゴリアーカイブ
月別アーカイブ