侵入者のための「静かなゲートウェイ」として機能しているコンピュータプログラムについて、新たなセキュリティ警告が発出されました。技術名HEURRemoteAdmin.GoToResolve.genとして知られるこのツールは、コンピュータを使用している本人から活動を隠す挙動のため、専門家により「望ましくない可能性のあるアプリケーション」(PUA)と呼ばれています。
この調査結果は、データ侵害防止企業Point WildのLat61脅威インテリジェンスチームによるものです。Hackread.comと共有されたレポートで、同チームは、このソフトウェアが標準的な業務ツールを重大なセキュリティリスクへと変え得る仕組みを説明しています。
見えないバックグラウンド活動
多くの人は、新しいソフトウェアがマシンに入ってくると、ポップアップや読み込みバーが表示されるものだと考えています。しかしLat61チームは、このツールが「サイレントに」インストールされ、C:\Program Files (x86)\GoTo Resolve Unattended\というフォルダ内のシステム深部に潜むことで「永続的な常駐」を維持できると指摘しました。
このプログラムはGoTo Resolve(旧称LogMeIn)の一部で、ITサポートで利用される正規のサービスですが、乗っ取られる可能性があります。調査では、インストーラ内に「32000~」というバンドルファイルがあり、アプリを管理するための秘密の指示が含まれていることが判明しました。ユーザーの操作なしにバックグラウンドで動作するため、専門家が「潜在的な攻撃面(attack surface)」と呼ぶものを生み出します。これは基本的に、ハッカーが侵入して制御を奪うために利用できる、鍵のかかっていない窓のようなものです。
ランサムウェアの手口との関連
発見の中で最も懸念される点は、Restart Manager(RstrtMgr.dll)と呼ばれるファイルに関わるものです。これはWindowsの標準コンポーネントですが、このライブラリはContiやCactusランサムウェア、さらにBiBiワイパーなどの悪名高いグループによって、「干渉するプロセスを終了させる」目的で使われてきた暗い経緯があります。
このコンポーネントを読み込むことで、ソフトウェアはアンチウイルスや他のセキュリティプログラムを停止させ、ハッカーが本格的な攻撃を準備する間、コンピュータを無防備な状態にする可能性があります。
「公式」署名にだまされないでください
疑いを持たないユーザーにとって、このソフトウェアは完全に安全に見えます。デジタル署名がGoTo Technologies USA, LLCから付与されており、通常これはWindowsが実行を許可するための「青信号」として機能します。
しかし周知のとおり、公式ツールであっても不正な目的に利用され得ます。Point Wildの研究者も、「有効なデジタル署名は悪用リスクを排除しない」と述べています。したがって、このソフトウェアが会社のセキュリティチームによって明確に承認されていない限り、高リスクとして扱い、データを守るために削除すべきです。
Zulfikar Ramzan博士(Point WildのCTO、Lat61脅威インテリジェンスチーム責任者)は、これは拡大する傾向だと述べ、痕跡を隠すこのソフトウェアの能力は、より破壊的な攻撃に向けてコンピュータを「危険な事前配置」状態にすることを示しているとしています。
「GoToResolveは、マルウェアにおける増加傾向の実証例です。すなわち、脅威アクターによる正規のリモート管理ツールの悪用です。サイレント実行とWindows Restart Managerを読み込める能力は、その後のより破壊的な攻撃に向けた、システムの危険な事前配置を示しています。」
翻訳元: https://hackread.com/goto-resolve-flagged-abuse-ransomware-tactics/
