台湾のD-Link社のコードサイニング証明書が盗用される

2018年7月17日

ニュースソース:welivesecurity by eset

以下は、2018年7月9日にAnton Cherepanov氏によって公開されたCertificates stolen from Taiwanese tech-companies misused in Plead malware campaignを要約したものです。


ESETの研究者は、コードサイニング証明書を悪用する新しいマルウェアキャンペーンを発見しました。
D-Link社とChanging Information Technology Inc.のコードサイニング証明書が盗用されました。
盗用したのは、高度に熟練した技術を持つ、東アジア、特に台湾をターゲットとしたサイバー攻撃グループです。

マルウェアファイルは、有効なD-Link社のコードサイニング証明書を使用してデジタル署名されています。
D-Link社の悪質でない署名も、まったく同じ証明書が使用されていました。したがって、証明書が盗まれた可能性があります。

ファイルの悪質な性質を確認した後、私たちはD-Link社に通知しました。
その結果、侵害されたデジタル証明書は2018年7月3日にD-Link社によって取り消されました。

ESETの研究者は、D-Link社の証明書で署名されたサンプルとともに、Changing Information Technology Inc.という台湾のセキュリティ会社に所属する証明書を使って署名したサンプルを特定しました。
2017年7月4日にChange Information Technology Inc.の証明書が取り消されたにもかかわらず、BlackTechグループはまだ悪意のあるツールに署名するためにこの証明書を使用しています。

台湾のいくつかのテクノロジー企業を攻撃し、コードサイニング証明書を再利用する能力から、このサイバー攻撃グループが高度に熟練しており、その地域に焦点を当てていることが推定されます。