ASUSのクラウドストレージアプリを悪用したマルウェア攻撃が発見

想定される中間者攻撃の流れ

　ESETは14日(スロバキア時間)、同社のセキュリティ研究者らが、ASUS製PCにインストールされている「ASUS WebStorage」アプリを介した、「PLEAD」マルウェアによる攻撃を検知したとの報告を行なった。

　PLEADはアジア圏をターゲットに、「BlackTech」と呼ばれるグループによって標的型攻撃に使用されていることが以前報告されており、今回の攻撃も4月末に台湾で観測されたという。

　今回の攻撃では、侵入済みのルーターとASUS WebStorageソフトウェアに対する中間者攻撃によってPLEADが配信されていたと見られている。

　ASUS WebStorageアプリはASUSのクラウドファイルサービスを利用するためのアプリで、一部モデルを除くASUS製PCにプリインストールされている。

　同アプリはアップデータのダウンロードにHTTP接続を利用しており、ダウンロードしたファイルの実行前にファイルの信頼性が検証されていないため、更新プロセスで中間者攻撃を実行されると、悪意あるアップデータを送り込むことが可能となる。

　マルウェアのコマンド&コントロール(C&C)サーバーとしてルーターが利用されていた形跡もあり、ESETの調査によれば、影響を受けた組織のほとんどが同じメーカー製のルーターを使用しており、それらのルーターはインターネットから管理パネルにアクセス可能になっていたという。

　同じようなインシデントとして、3月に発見された、ASUS Live Update Utilityを介した攻撃「ShadowHammer」があるが、こちらは正規のサーバーからマルウェアが配信されるサプライチェーン攻撃であり、攻撃手法が異なっている。

　ESETでは、今回の件についても、中間者攻撃ではなくサプライチェーン攻撃の可能性も指摘しているが、アップデートサーバー自体からマルウェアが配信されていた形跡がないこと、アップデータにマルウェアを組み込むのではなくスタンドアロンのマルウェアを送り込んでいたことなどから、可能性は低いとしている。