###
Winntiによって使用されるマルウェアについては、キルギスタンの国家機関の侵害されたネットワーク内で発見された ShadowPad バックドアのサンプルに関する調査の過程ですでに触れています。また、このネットワークではコードやネットワークインフラストラクチャにおいてShadowPadと多くの共通点を有するPlugXと呼ばれる特殊化された別のバックドアも発見されています。この2つのファミリーに関する比較分析の結果はこちらの記事をご覧ください。
本調査レポートでは、発見された悪意のあるモジュールについての分析、ならびにそのアルゴリズムと機能についての調査を行い、Winnti APTによって使用される他の良く知られたツールとの関連性を明らかにします。
主な特徴
悪意のあるモジュールは感染したデバイスのシステムディレクトリ C:\Windows\System32 内に oci.dll として置かれていました。すなわち、このモジュールはDLLハイジャッキングを用いて MSDTC (Microsoft Distributed Transaction Coordinator、Microsoft分散トランザクションコーディネーター)システムサービスによって起動されるようになっていました。このファイルは2020年5月にコンピューター上に侵入していることがデータから明らかになっていますが、その最初の感染手段については不明のままです。イベントログには MSDTC を開始・停止させるよう設計されたサービスの作成とバックドアの実行に関する記録が含まれていました。
詳細は以下をご覧ください。
リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。