米SymantecのSecurity Response Attack Investigation Teamは現地時間18日、サウジアラビアのITサービス事業者を狙ったサプライチェーンアタックと思われる事象が発生していることを公式ブログで発表している。
"Tortoiseshell"(べっこうと同社が呼ぶグループは、2018年7月まで遡り、サウジアラビアの11の組織が今までに攻撃を受けており、少なくとも2つの組織はドメイン管理レベルのアクセスを許していることをエビデンスが示しているという。侵害された2つのネットワークで数百台のコンピューターがマルウェアに感染しているという。なお、同社は今年の7月に活動を把握したことも付記している。
マルウェアBackdoor.Syskit(Symantec Webサイト内マルウェア解説)(https://www.symantec.com/security-center/writeup/2019-082613-5549-99)は%Windir%\temp\rconfig.xmlを読み出し、XMLのurl要素をAES Base64で暗号化し、"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system\Enablevmd"に、result要素を"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system\Sendvmd"に書き込むなどの特徴を持ち、C&Cサーバからの指令を受けコマンドを実行する。痕跡から攻撃者がこれらのネットワークでドメイン管理者レベルのアクセスを達成したことを推察しており、多くの顧客を持つこのITプロバイダーの標的化はサードパーティのサービスとソフトウェアを悪用して最終ターゲットを侵害するサプライチェーン攻撃である可能性が高いと指摘している。
部品の調達、製造、在庫管理、物流、販売など各々のビジネスにおけるスキームのなかで発生する攻撃を指し、委託先など脆弱な組織への侵入からサプライチェーンを通じてマルウェアの配布、情報詐取と被害を広げる。日本のIPAが発行する「情報セキュリティ10大脅威2019」組織編においても4位に浮上するサプライチェーン攻撃だが、自組織のみがセキュリティ対策を講じても、委託先や再委託先などサプライチェーンにおける管理は難しくなるためこの弱点を狙う攻撃だ。対策には、業務委託や情報管理における規則の徹底、信頼できる委託先組織の選定、委託先からの納品物の検証などが挙げられている。