2017年7月24日

株式会社Doctor Web Pacific

薬局や製薬企業を狙ったトロイの木馬 BackDoor.Dande による攻撃について調査を行うDoctor Webのスペシャリストにより、この度、新たな詳細が明らかになりました。このバックドアは標的となる端末上にePricaアプリケーションのコンポーネントとしてダウンロードされるだけでなく、同アプリケーションの古いバージョンのインストーラに組み込まれていました。

BackDoor.Dande による薬局や製薬企業に対する攻撃についてDoctor Webが最初に報告を行ったのは2011年のことでした。このバックドアは電子発注システムのユーザーから医薬品の購入に関する情報を盗んでいました。攻撃対象となったプログラムが製薬業界で使用されていたものであったことから、悪意のあるプログラムによる被害もまた同業界内に限られたものとなりました。以降、Doctor Webのスペシャリストは数年にわたってこのバックドアとその感染手法について調査を続けてきました。

最近の調査結果から、 BackDoor.Dande はePricaと呼ばれるアプリケーションのコンポーネントによって標的となるシステム上にダウンロードされ、起動されていることが明らかになっています。このアプリケーションは薬局経営者が医薬品の価格を分析し、最適なサプライヤーを選択するためのものです。モジュールは「Spargo Tekhnologii」のサーバーから BackDoor.Dande のインストーラをダウンロードし、このダウンローダがコンピューター上でバックドアを起動させます。さらに、このモジュールは電子署名「Spargo」を持っていました。

その後のさらなる調査の結果、 BackDoor.Dande のコンポーネントはePricaの古いバージョンのインストーラに直接組み込まれていたということが明らかになりました。すなわち、ePrica開発元のセキュリティシステムが著しく損なわれているという可能性が示唆されています。ePricaは、プライベートキーによって暗号化された動的リンクライブラリ（DLL）であるプラグインNLBとEMDを持っており、それらには、バックドアのインストーラのほか、医薬品の購入に関する情報を収集するモジュールが含まれています。これらのモジュールは、製薬企業向けプログラムのデータベースから必要な情報を取得します。また、モジュールの1つは1Cデータベースから医薬品の購入に関する情報をコピーするために使用されます。

これらのプラグインを実行させるのがrunmod.exeモジュールです。このモジュールはサーバーから受け取ったコマンドに応じてプラグインを復号化し、メモリ内で起動させます。その後、データベースからの情報をコピーし、それらをリモートサーバーに送信します。アプリケーションのコンポーネントは、ePricaの開発元である「Spargo Tekhnologii」の含まれている企業グループ「Protek」の署名を持っています。

ePricaを削除してもバックドアはシステム内に残り、ユーザーの監視を続けるという点に注意する必要があります。ePricaがアンインストールされたシステム上に未だ BackDoor.Dande が存在している可能性があるのです。

トロイの木馬のモジュールが含まれているePricaバージョン4.0.14.6のインストーラは2013年11月18日にリリースされていますが、バックドアのファイルの一部は2010年のものとなっています。このことから、薬局や製薬企業での購入に関する情報のコピーは、バックドアが初めて発見される少なくとも1年前から行われていた可能性があると考えられます。

BackDoor.Dande を含んだePricaのインストーラに関するさらなる詳細については、Doctor Webのウイルスライブラリ(英語)をご確認ください。

ePricaについての詳細(英語)