Trend Microはこのほど、「Investigating the PlugX Trojan Disguised as a Legitimate Windows Debugger Tool」において、正規のWindowsデバッガツールを装ったトロイの木馬型マルウェアを発見したことを伝えた。「PlugX」と呼ばれる遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)がWindows用のデバッガツールである「x64dbg」になりすましていたことが確認されている。

  • Investigating the PlugX Trojan Disguised as a Legitimate Windows Debugger Tool

    Investigating the PlugX Trojan Disguised as a Legitimate Windows Debugger Tool

x64dbgは一般的にカーネルモードやユーザーモードのコード、クラッシュダンプ、またはCPUレジスタを調べるために利用されているWindows用の正規のオープンソースデバッガツール。トレンドマイクロのセキュリティチームの調査により、PlugXをサイドロードするためにこのツールの実行ファイルである「x32dbg.exe」が悪用されていたことがわかった。

PlugXは感染したシステムにリモートアクセスおよび制御するために使われる遠隔操作型トロイの木馬。攻撃者が不正アクセスを行って機密データの窃取または侵害されたシステムを悪用する際によく用いている。

発見されたx32dbg.exeには、正当なアプリケーションであるかのように見せるために有効なデジタル署名が使われていたという。有効なデジタル署名を使用することで一部のセキュリティツールを混乱させ、レーダを潜り抜けて永続性を維持し、特権を拡大してファイル実行制限を回避することができると説明されている。また、このマルウェアにはDLLサイドローディング攻撃が用いられており、ローダのDLL検索順序を利用して複数の悪意のあるペイロードを配置していることも確認されている。

攻撃者が正規のアプリケーションに対する基本的な信頼を悪用し、DLLサイドローディング攻撃を続けているという。同社は、システムやアプリケーションがダイナミックリンクライブラリを信頼してロードし続ける限り、攻撃者がマルウェアを配信して機密情報へアクセスするため、この攻撃手法の悪用をやめないと結論付けている。