意図性評価ツール

不正機能事例詳細

不正機能事例の詳細情報

ASUS社のソフトウェアアップデート用ソフトウェアASUS Live Updateのサプライチェーン攻撃によるマルウェア化事例

不正機能の分類

不正な情報収集

概要

詳細不明の攻撃アクタがASUS社のアップデート配信サーバを侵害し、配信されるASUS Live Updateをバックドア化することにより、特定のMACアドレスを持つPCのみを標的とするマルウェアを配布した。

不正機能の実装箇所

  • 不正機能の実装箇所1

    入力: トロイの木馬化されたASUS Live Updaterファイル(setup.exe)を実行した端末のMACアドレス。

    トリガー: 端末のMACアドレスが、トロイの木馬化されたASUS Live Updaterファイル(setup.exe)が保持しているターゲットリスト(約600件のMACアドレス)と一致している。

    ペイロード: ターゲットリストと一致した端末は、攻撃者が用意した通信先(asushotfix[.]com)に接続し、「logo.jpg」または「logo2.jpg」に偽装されたセカンドステージマルウェアをダウンロードし、これをメモリ上に展開・起動する。

    特権状態: 特定のMACアドレスを持つ端末をターゲットにした情報流出と推定される。

    CVE: CVE-IDは採番されていない。

    CVSS: 基本評価値:8.6(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L)

    非制御ロジック:

    難読化

    • トロイの木馬化されたASUS Live Updaterファイル(setup.exe)において、custom block-chaining XOR algorithmが用いられていた。
    • トロイの木馬化されたASUS Live Updaterファイル(setup.exe)が保持しているターゲットリスト(MACアドレスのリスト)は、MD5ハッシュ化されていた。

    名称によるカモフラージュ

    • 攻撃者が用意した通信先(asushotfix[.]com)からダウンロードされるセカンドステージマルウェアは「logo.jpg」または「logo2.jpg」というファイルに偽装されていた。

    特定環境下でのみの動作

    • MACアドレスがターゲットリストと一致しなかった場合、「idx.ini」というファイルを作成し、そこに現在のシステム日付より1週間先の日付を登録する。
    • この目的は言及されていないが、一定期間は実行しないようにするフラグと推測される。

    その他検知回避・解析困難化手法

    • デジタル署名において、署名タイムスタンプが設定されておらず、ダイジェストアルゴリズムとしてSHA1が使用されていた
    • これは、関連するフォレンジックアーティファクトの発見を困難にすること、および操作時刻を隠ぺいするためと推測される。

脅威アクターに関する説明

  • APT41(BARIUM)
    • 製品開発者の外部である。
    • 判断根拠は以下
      • ASUSの公式Webサイトにおいて、「ASUS Live Updateツールに対するAPT(Advanced Persistent Threat)グループによる攻撃に関する最近のメディア報道に対するASUSの対応」と題する発表が行われている。
  • ASUSTeK Computer Inc.
    • 製品開発者である。

脅威アクター情報

  • APT41(BARIUM)

    アクター種別: APTグループ

    • APT41の母体となる組織は中国の情報機関である国家安全部(MSS)である
    • 早くとも2012年から14か国以上の組織を対象とする活動を行っている
  • ASUSTeK Computer Inc.

    アクター種別: 企業

    企業の本社所在国または地域

    • 台湾

    従業員数

    • 17,000人以上

    資本金

    • 74憶2400万台湾ドル(約360億円 ※2025/9月レート)

    セキュリティに関する活動

    • ISO/IEC 27001:2022(ISMS:情報セキュリティマネジメントシステム)を取得している

    • ASUSのヘルスケア製品のページにおいて、以下を取得していることが確認された。

    • プライバシー情報マネジメントに関するISO 27701
    • クラウドサービスにおける情報セキュリティ管理に関するISO 27017
    • パブリッククラウドにおける個人情報(PII)保護に関するISO 27018

製品情報に関する説明

  • ASUS Live Update
    バージョン:
    • バージョンは不明である
    • 修正版はバージョン3.6.8。
    • KasperskyがIOC(Indicators of Compromise。侵害の兆候)として、VER365、VER362、VER360、VER359を挙げていることから、少なくともこれらには不正機能が混入されていたと考えられる。

製品情報

  • ASUS Live Update
    製品種別: プロプライエタリソフトウェア

    概要

    • ASUS Live Updateは、ASUSノートパソコンに付属する独自のツールで、システムが常にASUSの最新のドライバーとファームウェアを利用できるようにするためのものである。

    対応プラットフォーム(OS)

    • Windows OS上で動作する。

    製品の主な利用者(所在地)

    • KasperskyおよびSymantecが報告した感染台数の内訳から、幅広い国で使用されていたと考えられる。

    製品の主な利用者(業界)

    • 主に一般ユーザー向け。
    • 組織においても使用されているが、KasperskyおよびSymantecが報告した感染台数の内訳から、幅広い業界で使用されていたと考えられる。

タイムライン

イベント日時 イベントタイプ イベント説明
2018/06/01 攻撃 当該期間内で、ASUS Live Update Utilityを標的としたサプライチェーン攻撃が行われていた可能性。
2019/03/19 発覚 ASUS Live Updaterの侵害が初めて発見。
2019/03/21 関係者への共有 Kaspersky LabがASUSに対してこの攻撃に関して情報提供を行う。
2019/03/26 報道 Motherboardがこの攻撃について報道。
2019/03/26 公式アナウンス ASUS がこの攻撃について、以下の対応を行ったことを公式Webサイトで発表。 - Live Updateソフトウェアの最新バージョン(バージョン3.6.8)で修正を実施し、ソフトウェアアップデートなどの悪意のある操作を防ぐための複数のセキュリティ検証メカニズムを導入し、強化されたエンドツーエンドの暗号化メカニズムを実装したこと。 - サーバーからエンドユーザーまでのソフトウェアアーキテクチャを更新・強化し、将来同様の攻撃の発生を防止したこと。 - 影響を受けるシステムを確認するためのオンラインセキュリティ診断ツールを作成したこと。