Passwordstateサプライチェーン攻撃により29,000社がリスクにさらされる

[post-views]
4月 28, 2021 · 6 分で読めます
Passwordstateサプライチェーン攻撃により29,000社がリスクにさらされる

オーストラリアのソフトウェアプロデューサーであるClick Studiosは、サプライチェーン攻撃を引き起こしたセキュリティ侵害の被害に遭いました。2020年4月、攻撃者はClick Studiosの企業向けパスワード管理アプリ「Passwordstate」のアップグレードメカニズムを悪用し、ユーザーのデバイスにMoserpassマルウェアを配信しました。影響を受けた顧客の数は現在不明ですが、ベンダーは感染率が非常に低いと主張しています。それでも調査は進行中で、最終的な被害者数は増加する可能性があります。現在、Fortune 500の企業、政府機関、防衛機関を含む29,000社以上がPasswordstateを使用して日常のプロセスを管理しています。

サプライチェーン攻撃の詳細

Click Studiosの公式声明によると、セキュリティ侵害は2021年4月20日午後8時33分UTCから4月22日午前0時30分UTCの間に発生しました。この期間中にサービスをアップグレードした顧客の企業システムがリスクにさらされている可能性があります。

によると、 研究 攻撃を調査しているセキュリティ会社CSIS Groupは、悪意のある人物がClick Studiosのウェブサイト上にあるディレクターファイルを侵害し、Passwordstateアプリのアップグレードメカニズムに干渉したことを明らかにしています。特に、ハッカーは悪意のある “Moserware.SecretSplitter.dll” ライブラリを小さなコードスニペット「Loader」を使用して挿入しました。その結果、通常のアップデートが被害者に対してMoserpassマルウェアを “Passwordstate_upgrade.zip” ファイルの形で配信しました。特筆すべきは、この粗いDLLがコンテンツデリバリーネットワーク(CND)に依存し、2021年4月22日午前7時UTCに停止されたことです。

Moserpassの悪意ある機能

感染時に、Moserpassマルウェアはシステムの機密情報とPasswordstateデータを収集し、それを攻撃者の支配下にあるコマンド&コントロール(C&C)サーバーに送信します。具体的には、この悪意のあるソフトウェアは、コンピュータ名、ユーザー名、ドメイン名、現在のプロセス名、現在のプロセスID、実行中のすべてのサービス名、Passwordstateインストールのプロキシサーバーアドレス、Passwordstateの資格情報などの詳細をダンプします。ただし、ドメイン名とホスト名はこの悪意のあるプロセスとして収集されません。また、暗号化キーやデータベース接続文字列が攻撃者のC&Cに転送されている証拠はありません。データを収集しアップロードした後、Moserpassマルウェアは24時間休眠し、悪意ある活動を再開します。

Passwordstateの資格情報が暗号化されている顧客は安全と見なされており、Moserpassはそのデータを収集する能力がありません。

検出と軽減

Click Studiosは顧客に対し、できるだけ迅速にパスワード変更を開始するよう促しています。また、ベンダーは詳細な アドバイザリ を発行し、関連する軽減策を提供しています。 

Moserpassの悪意のある活動を検出し、組織のインフラストラクチャを保護するために、SOC Primeの顧客は、Threat Detection Marketplaceで最新の検出ルールのセットをダウンロードできます。すべてのコンテンツはMITRE ATT&CK®フレームワークに直接マッピングされ、対応する参照と説明が含まれています。

サイバー防御能力を向上させるために、Threat Detection Marketplaceに無料で登録してください。弊社のSOCコンテンツライブラリーには、10万以上の検出と応答ルール、パーサー、検索クエリ、その他の関連するSOCコンテンツが含まれているので、増え続けるサイバー攻撃を抵抗することができます。最新のサイバーセキュリティトレンドを注視し、脅威ハンティング活動に参加したいですか?当社のThreat Bounty Programに参加して、世界の安全性向上に貢献するチャンスを掴みましょう。

プラットフォームにアクセスする Threat Bountyに参加

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
ブログ, 最新の脅威 — 7 分で読めます
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
Veronika Telychko
TorNetバックドア検出:進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開
ブログ, 最新の脅威 — 8 分で読めます
TorNetバックドア検出:進行中のフィッシングメールキャンペーンがPureCrypterマルウェアを使用し他のペイロードを展開
Veronika Telychko