日本のセキュリティ企業が、オリンピックをテーマにしたマルウェアのサンプルを発見したと発表しました。
このマルウェアには、感染したシステム上のファイルをワイプ(消去)する機能が含まれており、日本のPCをターゲットにしているようで、ワイパー型マルウェアとして捕捉されています。
このワイパーの発見は、開催される2021年東京オリンピックの開会式を2日後に控えた水曜日に行われました。
三井物産セキュアディレクション株式会社(本社:東京都千代田区、社長:飯島彰己、以下MBSD)が発見・解析したこのワイパーは、パソコンのデータをすべて削除するのではなく、ユーザーの個人用Windowsフォルダー「C:/Users//」にある特定のファイルタイプのみを検索します。
削除の対象となるのは、Microsoft Officeファイルのほか、ログやデータベース、パスワード情報などが保存されている可能性のあるTXT、LOG、CSVファイルなどです。
さらに、このワイパーは日本語ワープロ「一太郎」で作成されたファイルもターゲットにしています。このことからMBSDチームは、このワイパーが「一太郎」アプリが一般的にインストールされている日本のコンピュータをターゲットにして作成されたものであると考えています。
対象となる拡張子
dotm, dotx, pdf, csv, xls, xlsx, xlsm, ppt, pptx, pptm, jtdc, jttc, jtd, jtt, txt, exe, log
ワイピング操作
このワイパーには、マルウェアが簡単に分析・テストされないようにするためのアンチアナリシスやアンチVMの検出技術が多数搭載されており、ワイピング操作が終了するとマルウェアが自分自身を削除する機能も備えています。
アダルトトラフィックを偽装に利用
そしてワイパーがワイプ消去動作を行っている間、cURLアプリを使ってアダルトビデオポータル「XVideos」のページにもアクセスしていることです。
MBSDチームは、この動作は、ユーザーがポルノサイトにアクセス中に感染したためにワイプ動作が行われたとフォレンジック調査担当者を騙すために追加されたものだと考えています。
しかし、MBSDチームによるとワイパーはWindowsのEXEファイルに含まれており、そのファイルはPDFファイルのような名前に見えるように設定されていたとのことです。
MBSDの研究者である吉川隆と菅原啓は、「このマルウェアは、PDFアイコンを使って偽装されており、Usersフォルダ配下のデータのみを標的としていることから、管理者権限を持たないユーザーへの感染を目的としていると考えられます。現在のところ、このマルウェアのサンプルは7月20日(火)にVirusTotalにアップロードされた1つのコピーのみが発見されています。」と述べています。
FBI、オリンピックを狙ったサイバー攻撃の可能性を警告
ワイパーが発見されたのは、米国連邦捜査局が今年の東京オリンピックを標的とした攻撃者の可能性について、米国企業に民間企業向けの警告を発信した直後でした
https://www.ic3.gov/Media/News/2021/210719.pdf
ロシア軍のハッキンググループによるサイバー攻撃は、過去2回のオリンピックに対して攻撃を行ったことがあります。
2016年のリオ夏季オリンピックでは、国家主導のドーピングスキャンダルを受け、ロシア選手がロシア国旗での参加を禁止された後、2016年8月にAPT28(Fancy Bear)グループが世界アンチ・ドーピング機構(WADA)に侵入し、ファイルをネット上に流出させました。
平昌2018冬季オリンピックでロシアの禁止期間が延長された後、ロシアのハッカーは主催者の内部ネットワークを停止させようと大会の開会式で「Olympic Destroyer」というワイパーを展開しました。
東京オリンピックでは、ロシア人選手がロシア国旗を掲げて競技することの禁止措置がまだ取られています。
Comments