制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。
ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)
引用元:CrowdStrike_Global_Threat_Report_2013
日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。
感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll
その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。
マルウェアDLLを実行するためのコード
感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。
ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬
ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)
引用元:CrowdStrike_Global_Threat_Report_2013
日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。
感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll
その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。
マルウェアDLLを実行するためのコード
感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。
ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬
