侵入者のための静かなゲートウェイとして機能しているコンピュータプログラムに関する新たなセキュリティ警告が発出されました。技術名HEURRemoteAdmin.GoToResolve.genとして知られるこのツールは、コンピュータの利用者から活動を隠す方法のため、専門家により「望ましくない可能性のあるアプリケーション」(PUA)と呼ばれています。
この調査結果は、情報漏えい防止企業Point WildのLat61脅威インテリジェンスチームによるものです。Hackread.comと共有されたレポートで、同チームはこのソフトウェアが標準的な業務ツールを重大なセキュリティリスクへと変え得る仕組みを説明しました。
見えないバックグラウンド活動
新しいソフトウェアがマシンに入ってくるとき、私たちの多くはポップアップや読み込みバーが表示されることを想定します。しかしLat61チームは、このツールがC:\Program Files (x86)\GoTo Resolve Unattended\というフォルダ内のシステム深部に潜り込むことで、「サイレントに」自己インストールし、「永続的な常駐」を維持できると指摘しました。
このプログラムは、ITサポートで利用される正規のサービスGoTo Resolve(旧称LogMeIn)の一部ですが、乗っ取られる可能性があります。調査では、インストーラー内に「32000~」というバンドルファイルがあり、アプリを管理するための秘密の指示が含まれていることが判明しました。ユーザーの操作なしにバックグラウンドで動作するため、専門家が「潜在的な攻撃対象領域」と呼ぶものを生み出します。これは基本的に、ハッカーが侵入して制御を奪うために利用できる、鍵のかかっていない窓のようなものです。
ランサムウェアの手口との関連
今回の発見で最も懸念される点は、Restart Manager(RstrtMgr.dll)と呼ばれるファイルに関わるものです。これはWindowsの標準コンポーネントですが、このライブラリはContiやCactusといったランサムウェア、さらにBiBiワイパーによって、「干渉するプロセスを終了させる」目的で使用されてきたという暗い経緯があります。
このコンポーネントを読み込むことで、ソフトウェアはウイルス対策や他のセキュリティプログラムを停止させ、ハッカーが本格的な攻撃を準備する間、コンピュータを無防備な状態にしてしまう可能性があります。
「RstrtMgr DLL(Restart Manager)が、一般的ではないプロセスによって読み込まれています。このライブラリは、ファイル暗号化を妨げるプロセスを(ロックによって)停止させるために、ランサムウェアのキャンペーンで使用されてきました(例:Contiランサムウェア、Cactusランサムウェア)。また最近では、Windows向けBiBiワイパーでも使用されているのが確認されています。特定のプロセスを停止させることで、解析妨害目的にも利用され得ます。」
Lat61脅威インテリジェンスチーム – Point Wild
「公式」署名にだまされないでください
何も疑わないユーザーにとって、このソフトウェアは完全に安全に見えます。GoTo Technologies USA, LLCによる有効なデジタル署名 が付いており、通常これはWindowsが実行を許可するための「青信号」として機能します。
しかし周知のとおり、公式ツールであっても不正な目的に使われることがあります。Point Wildの研究者も、「有効なデジタル署名は悪用のリスクを排除しない」と述べています。したがって、このソフトウェアが会社のセキュリティチームによって明確に承認されていない限り、高レベルのリスクとして扱い、データを守るために削除すべきです。
Point WildのCTOでありLat61脅威インテリジェンスチームの責任者であるZulfikar Ramzan博士は、これは拡大する傾向だと述べ、痕跡を隠すこのソフトウェアの能力は、より破壊的な攻撃に向けてコンピュータを「危険な事前配置」状態にする兆候だとしています。
「GoToResolveは、マルウェアにおける増加傾向の証左です。すなわち、脅威アクターによる正規のリモート管理ツールの悪用です。サイレント実行とWindows Restart Managerを読み込める能力は、その後に続く、より破壊的な攻撃に向けてシステムを危険な形で事前配置していることを示しています。」
翻訳元: https://hackread.com/goto-resolve-activities-ransomware-tactics/
