Hola Browserのインストールパイプラインに影響するサプライチェーン侵害が確認されました。AppEsteemによるWindows認定アプリケーションの定例テストの過程で、アナリストがHola Browserバージョン1.251.91.0に同梱された予期しない暗号通貨マイニング実行ファイルを発見しました。
この事件は、配布パイプラインを乗っ取り、気づかないユーザーへ悪意あるペイロードを送り込む手口が依然として脅威であることを改めて示しています。
AMTSOの認定機関であるAppEsteemは、ソフトウェアの定期的な検証を通じて、配布されるバイナリが宣言・認定済みの内容と一致しているかどうかを確認しています。
複数の独立したセキュリティ製品でHola Browserのインストーラーをテストした際、Sophosが未申告のコンポーネントを検出し、Potentially Unwanted Application(PUA)としてフラグを立てました。
この不正ファイルはme.exeという名前で、インストール中にC:\Program Files\Hola\ディレクトリへ書き込まれました。
未申告バイナリの存在は、静的なペイロードの問題ではなく、ソフトウェア配信経路における不正な改変があったことを示しています。
悪意あるファイルはすべてのサードパーティテストで検出されたわけではなかったため、研究者たちは、この注入が特定のビルドチャネル、コンテンツデリバリーネットワーク(CDN)の動作、またはリリースパイプラインの設定に依存していたと結論付けました。
SophosとAppEsteemによる責任ある情報開示を受け、Holaは直ちにインシデント対応を開始しました。
HolaのCEOであるAvi Raz Cohen氏は、更新配信パイプライン内で異常な活動を自社の監視システムでも検知していたことを認めました。
同社は問題のあるパイプラインを停止し、不正なソフトウェアをインフラから削除したうえで、フォレンジック調査のために独立系サイバーセキュリティ企業のSygniaと契約しました。
Holaによると、今回のサプライチェーン侵害の影響を受けたユーザーはおよそ0.1%にとどまり、フォレンジック調査の結果、ユーザーデータへのアクセスや外部への流出は確認されませんでした。再発防止策として、Holaは配布パイプライン全体を完全に再構築しました。
同社は高度なコード署名検証を導入し、継続的なインフラ監視を開始しました。さらに、認定済みのコンポーネントのみがエンドユーザーに届くよう、アクセス制御の強化も実施しています。
投下されたme.exeバイナリの初期分析では、回避型マルウェアに典型的な複数の危険な特徴が確認されました。
このファイルにはデジタル署名とタイムスタンプがなく、難読化されたコードを含み、メモリへの書き込み能力を持っていました。Sophosはこの悪意あるペイロードをTroj/GoMiner-Bとして正式に追跡しています。
テレメトリデータにより、このバイナリはホストのリソースを悪用するステルス型の暗号通貨マイナーとして機能することが確認されました。このマルウェアは以下の動作特性を示します。
Goモジュールパス(m/cmd/xmrig-idle)を利用しており、XMRigマイニングソフトウェアをベースに作られていることがわかります。ローカルのウイルス対策検出を回避するため、Windows Defenderの除外コマンドを実行します。
ユーザーがアクティブな状態ではマイニング処理を停止するよう、システムの状態を監視することでステルス性を維持します。管理者権限で実行された場合、自身をC:\Program Files\Hola\HolaMonitorService.exeにコピーします。
hola_monitor_svcという名前の新しいサービスを登録することで永続性を確立し、システムのアイドル時に自動起動するよう設定されます。
翻訳元: https://cyberpress.org/hola-installer-delivers-cryptominer/
