Microsoftのデジタル署名入りルートキットFiveSysが発見され中国ネトゲを標的に拡散中

 

Microsoftのデジタル署名入りルートキット「FiveSys」がネトゲを標的に拡散中

2021/10/25 

 

Microsoftのデジタル署名入りルートキット「FiveSys」がネトゲを標的に拡散中アンチウイルスソフトメーカー・BitDefenderの研究者により、Microsoftの発行した有効なデジタル署名を持った悪意あるルートキット「FiveSys」の存在が指摘されています。2021年6月には先行して同様のルートキット「Netfilter」が発見されており、今後、さらにデジタル署名入りのマルウェアの増加が危惧されていますリンクgigazine.net

 

アンチウイルスソフトメーカー・BitDefenderの研究者により、Microsoftの発行した有効なデジタル署名を持った悪意あるルートキットFiveSys」の存在が指摘されています。2021年6月には先行して同様のルートキット「Netfilter」が発見されており、今後、さらにデジタル署名入りのマルウェアの増加が危惧されています

Digitally-Signed Rootkits are Back – A Look at FiveSys and Companions
https://www.bitdefender.com/blog/labs/digitally-signed-rootkitsare-back-a-look-atfivesys-and-companions/

 

2021年6月、セキュリティ企業のG DATAにより、Microsoftのデジタル署名入りマルウェア「Netfilter」の存在が明らかになりました。Microsoftによれば署名インフラに危険はないとのことですが、このマルウェアはMicrosoftのプロセスに従って悪意あるドライバーを送信し、合法的に署名入りバイナリを取得することに成功したとみられています。

Microsoftがコード署名プロセスの弱点を突かれて誤ってルートキットに署名したことが判明 - GIGAZINE

 

 

新たに見つかった「FiveSys」は、攻撃者の望むインターネットアドレスへのプロキシトラフィックに使用されるもので、オンラインゲームをターゲットとして、認証情報の窃取とゲーム内購入の乗っ取りが目的であると推測されています。

「FiveSys」はおよそ1年前から出回っていますが、「Netfilter」と同じく拡散地域は中国に限られており、中国市場に大きな関心を持つ脅威アクターによって運営されているものとみられます。

 

 

 

 

 

 

 

マイクロソフトの電子署名を持つルートキットが発見される

2021/10/25 

 

 

 Bitdefenderのセキュリティ研究者は、「FiveSys」と呼ばれるルートキットについて詳しく説明するホワイトペーパーを発表した。このルートキットは、何らかの手段でMicrosoftのドライバー認定プロセスを通過し、Microsoftのデジタル署名を受けていた。

 ルートキットは、サイバー犯罪者が感染したコンピューターにアクセスし、コントロールするための悪質なソフトウェアだが、ルートキットが有効な署名を持っている場合、正規のソフトウェアのように見えるため、OSの制約を迂回して「事実上無制限の特権」を得ることができるという。

 これまでもサイバー犯罪者がデジタル証明書を盗んで悪用する例は見られたが、今回の場合は有効な証明書を入手することに成功したようだ。サイバー犯罪者がどのような手段で有効な証明書を手に入れたかは、現在も分かっていない。

 Bitdefenderの脅威研究および通報担当ディレクターであるBogdan Botezatu氏は、米ZDNetの取材に対して、「検証のプロセスに提出され、何らかの方法でチェックをすり抜けた可能性がある。デジタル署名を得るための要件は、ほとんどのルートキットを検出して止めることができるが、完全ではない」と述べている。

 FiveSysが実際にどのように配布されているかは分かっていないが、研究者らは、クラックされたソフトウェアのダウンロードファイルにバンドルされて配布されていると考えている。

 FiveSysがインストールされると、インターネットのトラフィックがプロキシサーバーに転送されようになるが、プロキシサーバーが間に入ることでブラウザーから警告が表示されるのを避けるために、ブラウザーにカスタムメイドのルート証明書がインストールされる。また、このルートキットは、ほかのマルウェアがドライバーに書き込みを行うのをブロックする仕組みを持っている。これは、ほかのサイバー犯罪者が感染したシステムを利用するのを防ぐためだと思われる。

 攻撃を分析した結果、FiveSysはオンラインゲーマーのログイン認証情報や、ゲーム内購入を乗っ取るために使われていることが明らかになった。

 オンラインゲームの人気は高く、大きな金銭が動く可能性がある。これは、アカウントにバンキング情報がひも付けられているからだけでなく、価値の高いゲーム内アイテムを売ることで多額の金銭が得られる場合があり、攻撃者は不正アクセスによってそうしたアイテムを盗んで売ることができる。

 現時点では、この攻撃の標的となっているのは中国国内のゲーマーであり、攻撃者も中国国内で活動していると考えられている。

 この攻撃キャンペーンは2020年末頃から徐々に始まっていたが、2021年の夏に急拡大した。Bitdefenderが署名が悪用されていることをMicrosoftに通報し、署名が取り消されたため、現在はこの攻撃はブロックされている。米ZDNetはMicrosoftに問い合わせを行ったが、本記事掲載時点までに回答を得られなかった。

 このルートキットは、現在はゲームアカウントのログイン認証情報を盗むために使われているが、将来ほかの標的が狙われる可能性もある。