広く使用されている Daemon Tools ディスク アプリケーションが 1 か月にわたるサプライ チェーン攻撃でバックドア化

その後、十数の組織に送信されたペイロードの 1 つは、カスペルスキーが「ミニマリスト バックドア」と表現したものでした。コマンドを実行し、ファイルをダウンロードし、メモリ内でシェルコード ペイロードを実行する機能があるため、感染の検出がより困難になります。

カスペルスキーは、ロシアにある教育機関が所有する 1 台のマシンに QUIC RAT と呼ばれるより複雑なバックドアがインストールされているのを観察したと発表しました。初期分析では、notepad.exe および conhost.exe プロセスにペイロードを挿入でき、HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3 などのさまざまな C2 通信プロトコルをサポートしていることが判明しました。

感染した100の組織は主にロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国に集中していた。カスペルスキーは自社製品が提供するテレメトリのみに依存しているため、攻撃に対する可視性は限られています。

カスペルスキーの研究者は次のように書いています。

分析の結果、影響を受けたシステムの 10% が企業や組織に属していることがわかりました。攻撃者は、情報コレクターのペイロードのみを使用して、影響を受けるマシンのほとんどを感染させようとしました。しかし、より複雑なもう 1 つのバックドア ペイロードは、ロシア、ベラルーシ、タイにある政府、科学、製造、小売組織の十数台のマシンでのみ観察されました。感染したマシンの小さなサブセットにバックドアを展開するこの方法は、攻撃者が特定の方法で感染を実行する意図を持っていたことを明確に示しています。しかし、サイバースパイ活動なのか「大物狩り」なのか、彼らの意図は現時点では不明だ。

最新のサプライチェーン攻撃は、Trivy、Checkmarx、Bitwarden と、オープンソース リポジトリを通じて入手可能な 150 以上のパッケージに影響を与えました。昨年は、そのような攻撃が少なくとも6件発生しました。

Daemon Tools を使用している人は、時間をかけて評判の良いウイルス対策ソフトウェアを使用してマシン全体をスキャンする必要があります。 Windows ユーザーは、Kaspersky の投稿にリストされている侵害指標も確認する必要があります。カスペルスキーは、より技術的に高度なユーザーに対して、「特にソースが Temp、AppData、または Public などの公的にアクセス可能なディレクトリから起動された実行可能ファイルである場合、正当なシステム プロセスへの不審なコード インジェクション」を監視することを推奨しています。