Daemon Tools仮想ドライブアプリがサプライチェーン攻撃で1か月間バックドア感染
原題: Widely used Daemon Tools disk app backdoored in monthlong supply-chain attack
なぜ重要か
正規ソフトの公式配布チャネルを狙うサプライチェーン攻撃が高度化し、企業のセキュリティ対策見直しが急務となっている
セキュリティ企業Kasperskyは5日、人気の仮想ドライブソフトDaemon Toolsが4月8日から約1か月間サプライチェーン攻撃を受け、公式サイトからダウンロードされる正規署名付きインストーラーがマルウェアに感染していたと発表した。100か国以上の数千台のマシンが標的となった。
Kasperskyによると、この攻撃は4月8日に開始され、報告時点でも継続していた。感染したのはWindows版のバージョン12.5.0.2421から12.5.0.2434で、開発元AVBの公式デジタル証明書で署名されたインストーラーが公式サイトから配布されていた。マルウェアはDaemon Tools実行ファイルを感染させ、システム起動時に動作する仕組みとなっていた。初期ペイロードはMACアドレス、ホスト名、DNSドメイン名、実行中プロセス、インストールソフトウェア、システムロケールなどの情報を収集し、攻撃者制御のサーバーに送信していた。100か国以上の数千台のマシンが標的となったが、このうち小売、科学、政府、製造業の組織に属する約12台のマシンが二次ペイロードを受信し、特定グループを狙った攻撃であることが判明した。Kasperskyの研究者は「攻撃者は極めて洗練された手法でDaemon Toolsの侵害を実行した」と分析し、発見まで約1か月を要したことは2023年の3CXサプライチェーン攻撃と同程度の複雑性を示すと指摘した。