【概要】
■タイムライン
日時 | 内容 |
---|---|
2017/03/11 05:00 | TeamViewerからシングルサインインで不正侵入 |
2017/03/12 04:00 | 別のコンピュータにリモートデスクトップサービス経由でバックドアを設置(感染拡大) |
以後数週間 | Piriform社内のシステムなどを探索 |
↓ | 管理者権限などの情報を窃取 |
↓ | ShadowPad (バックドア)を 4台に設置(mscoree.dllを偽装) |
2017/07/19 | AVAST が Piriform を買収 |
2017/08/02 | 買収後最初のバージョンのCCleaner をリリース |
2017/09 | 攻撃実行 |
■ ShadowPad
- 韓国やロシアで発生した攻撃でも使われていた*1
【ニュース】
◆標的型攻撃に使われたCCleaner、マルウェアの混入経緯が判明--Avast (ZDNet, 2018/04/18 17:21)
https://japan.zdnet.com/article/35117973/
【関連情報】
◆韓NetSarang製サーバ管理ツールのアップデートにバックドア - 「PlugX」との類似点も (Security NEXT, 2017/08/18)
http://www.security-next.com/084904
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆標的型攻撃マルウェア (まとめ)
◆ShadowPad (まとめ)
https://malware-log.hatenablog.com/entry/ShadowPad