2017年7月24日
株式会社Doctor Web Pacific
BackDoor.Dande による薬局や製薬企業に対する攻撃についてDoctor Webが最初に報告を行ったのは2011年のことでした。このバックドアは電子発注システムのユーザーから医薬品の購入に関する情報を盗んでいました。攻撃対象となったプログラムが製薬業界で使用されていたものであったことから、悪意のあるプログラムによる被害もまた同業界内に限られたものとなりました。以降、Doctor Webのスペシャリストは数年にわたってこのバックドアとその感染手法について調査を続けてきました。
最近の調査結果から、 BackDoor.Dande はePricaと呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されていることが明らかになっています。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは「Spargo Tekhnologii」のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名「Spargo」を持っていました。
その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントはePricaの古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。すなわち、ePrica開発元のセキュリティシステムが著しく損なわれているという可能性が示唆されています。ePricaは、プライベートキーによって暗号化された動的リンクライブラリ(DLL)であるプラグインNLBとEMDを持っており、それらには、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。
これらのプラグインを実行させるのがrunmod.exeモジュールです。このモジュールはサーバーから受け取ったコマンドに応じてプラグインを復号化し、メモリ内で起動させます。その後、データベースからの情報をコピーし、それらをリモートサーバーに送信します。アプリケーションのコンポーネントは、ePricaの開発元である「Spargo Tekhnologii」の含まれている企業グループ「Protek」の署名を持っています。
ePricaを削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。ePricaがアンインストールされたシステム上に未だ BackDoor.Dande が存在している可能性があるのです。
トロイの木馬のモジュールが含まれているePricaバージョン4.0.14.6のインストーラは2013年11月18日にリリースされていますが、バックドアのファイルの一部は2010年のものとなっています。このことから、薬局や製薬企業での購入に関する情報のコピーは、バックドアが初めて発見される少なくとも1年前から行われていた可能性があると考えられます。
BackDoor.Dande を含んだePricaのインストーラに関するさらなる詳細については、Doctor Webのウイルスライブラリ(英語)をご確認ください。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments