韓NetSarang製サーバ管理ツールのアップデートにバックドア - 「PlugX」との類似点も

韓NetSarang Computerが提供するサーバ管理ツールのアップデートが改ざんされ、バックドア機能を持つマルウェア「ShadowPad」が仕込まれていたことがわかった。

NetSarangによるアナウンス

7月に金融機関から依頼を受けたKaspersky Labが、不審なDNSリクエストについて調査を行ったところ発見したもの。

リクエストの送信元がNetSarangのサーバ管理ソフトであり、NetSarangの正規アップデートが改ざんされ、マルウェアによってリクエストが実行されていることを突き止めたという。

改ざんされたアップデートがインストールされると、複数のドメインに対して8時間に1回、感染コンピュータのユーザー名やドメイン名、ホスト名などを送信するようになっていた。

（Security NEXT - 2017/08/18 ）ツイート