Neowinは3月4日(米国時間)、「New phishing scam uses legit software to hijack computers, but the real story is even wilder - Neowin」において、正規の手順でマルウェアを配布するサイバー攻撃が特定されたと報じた。

攻撃者は厳格な審査を行うEV(Extended Validation)証明書で署名された偽アプリを配布し、標的環境に正規のリモート監視環境を構築したという。

  • EV証明書で署名された偽アプリを配布する攻撃が確認された Photo:PIXTA

    EV証明書で署名された偽アプリを配布する攻撃が確認された Photo:PIXTA

EV証明書で署名された偽アプリを配布

これはMicrosoft Defender Expertsチームの調査により特定された。初期の侵害経路はフィッシングメールとされ、PDFファイルを添付するケースと、会議の招待などを送付する2つのケースが特定されている。

PDFファイルを悪用する場合、ファイルの閲覧に「Adobe Reader」が必要と主張し、Adobeサイトに偽装したダウンロードサイトから偽アプリをダウンロードさせる。会議の招待を悪用する場合、アプリのアップデートが必要と主張して、 Teamsなどの正規サイトに偽装した偽サイトから偽アプリをダウンロードさせる。

  • 侵害経路 - 引用:Microsoft

    侵害経路 引用:Microsoft

これら偽アプリは「TrustConnect Software PTY LTD」と名乗る企業のEV証明書で署名されており、証明書の信頼性の高さからセキュリティソリューションによる検出をある程度抑制可能とされる。

この攻撃では正規のRMMツールを悪用することで、セキュリティ製品による検出を回避しながら、長期間にわたりマルウェア感染を維持できるとみられている。

偽アプリを実行すると、永続性が確保され、複数の正規のリモート監視および管理(RMM: Remote Monitoring and Management)アプリがインストールされる。これらRMMアプリは正規ツールのため、アプリ本体およびトラフィックは検出される心配がなく、攻撃者は安全に侵害および情報窃取が可能と評価されている。

ペーパーカンパニー設立でEV証明書を取得

本件調査では、正規のEV証明書を使用して、悪意のある偽アプリを署名する珍しい手法が確認された。EV証明書は厳格な審査と身元確認を要件とする信頼性の高い証明書とされ、実在しない組織やWebサイトで利用することは困難とされている。

EV証明書の審査をパスした企業がマルウェアを開発するとは考えられず、盗難被害にあったものと考えたくなる。しかしながら、Proofpointの調査により盗まれていないことが特定され、その手法が明らかになった。

その手法は至ってシンプルで、実際にペーパーカンパニーを設立し、企業Webサイトを立ち上げ、実在を証明する顧客統計やレビューなどを偽造することで、証明書の審査に合格して入手したという。

正規のEV証明書を入手した攻撃者は、正規のマルウェアを開発し、正規のRMMツールをインストールする仕組みで標的環境を侵害した。また、この攻撃者は偽アプリをマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売しており、月額300ドルを支払うことで誰でも利用可能とされる。

取り消し後もWindowsでは信頼状態の可能性

このEV証明書は2月6日に取り消されているが、NeowinによるとWindowsからは信頼された状態が維持されており、取り消し後も実行できる可能性があるという。また、EV証明書を不正に取得するこの手法は今後も有効とみられ、すでに新しいマルウェアの存在が確認されている。

今回発見された攻撃手法本件はEV証明書の信頼を悪用する手法と言える。ダウンロードした実行可能ファイルの署名の信頼性を低下させており、ユーザーはこれまで以上に配布サイトの正当性検証に気を配る必要がある。