カスペルスキー研究所は、アジアと中東の政府や政治団体を狙った2件の攻撃を明らかにした。
ロシアの安全保障機関は、この作戦がこれまでいかにして秘密裏に発見を逃れてきたかを概説した報告書を発表した。
タージ・マハルが5年ぶりに沈黙を破る
中央アジアにある特定されていない外交施設が、合わせて約 80 個のモジュールをロードする 2 つの異なるマルウェアを実行する非常に複雑な操作である Taj Mahal の本拠地であると名指しされました。
カスペルスキー社の調査によれば、このマルウェアと既知のサイバー犯罪グループやスパイグループとの関連を示すものは何も見つかっていないが、マルウェアを作成した者は誰であれ、この施設で2013年か2014年から感染が検出されずに実行されていたと考えられることから、マルウェアを巧みに隠蔽していたとみられる。
Taj Mahal 感染は 2 つの別個の部分として動作します。1 つは PowerShell 経由でバックドアを設定し、コマンド アンド コントロール サーバーを呼び出す「Tokyo」と呼ばれる主要な感染です。
攻撃の2つ目の構成要素である「横浜」は、東京攻撃の後に起動されます(ただし、東京攻撃と並行して実行することも可能です)。80個の攻撃モジュールの大部分を搭載しており、これらのモジュールは、印刷キューからのデータの取得、スクリーンショットの撮影、暗号鍵の窃取といった特定のスパイ活動を可能にします。
カスペルスキー研究所の主任マルウェアアナリスト、アレクセイ・シュルミン氏は、タージ・マハルの複雑さと幅広い機能を考えると、他にも感染したグループが存在する可能性が高いと述べています。端的に言えば、この攻撃は一度きりの攻撃では考えられないほど大規模かつ複雑です。
「この脅威の分布と感染経路も依然として不明です。どういうわけか、5年以上もの間、気づかれずにいたのです」とシュルマン氏は指摘した。
「これが比較的活動が少ないためなのか、それとも何か他の原因があるのか、これもまた興味深い疑問です。犯人を特定する手がかりも、既知の脅威グループとの関連性も見当たりません。」
SneakyPastesは中東に定着している
ロシアのセキュリティ機関が明らかにした2件目の攻撃は、それほど謎めいたものではありませんでした。ガザ・サイバーギャングと呼ばれるグループが、中東および北アフリカで政治的動機に基づく一連の攻撃を仕掛けたとされ、その主な標的はパレスチナ自治区(名前の由来)でした。
「SneakyPastes」と名付けられたこのグループの新しい活動は、比較的経験の浅い集団によるものだと考えられている(このグループの他の2つの階層は、より技術的に高度な活動を行っている)。この活動では、GitHubやPasteBinなどのサイトから取得したスクリプトやコードスニペットを多用し、最終的に標的のPCにスパイウェアアプリをインストールする。
この攻撃は政府機関、メディア、政治団体を標的とし、政治的なメッセージに見せかけたフィッシングメールを使用しています。
カスペルスキー社は攻撃の概要の中で、「分析結果によると、被害者は39カ国に広がり、240人以上の被害者がいます。被害者の大半はパレスチナ自治区で、次いでヨルダン、イスラエル、レバノンとなっています(下表参照)。」と述べています。
英国のハッカー、わいせつサイトの広告ネットワークにランサムウェアを仕掛けた罪で投獄
続きを読む
「最も標的とされるのは、大使館、政府機関、教育機関、メディア、ジャーナリスト、活動家、政党や政党関係者、医療、銀行などだ。」
カスペルスキーの研究者は、攻撃を実行する安価で簡単な方法であることに加えて、さまざまなスクリプトや被害者への感染方法、使い捨ての電子メールアドレスの使用が、このグループが基盤となるインフラストラクチャを隠すのにも役立っていると考えています。
「すべてのステージの実行ファイルは、検出を回避し、C2 サーバーを保護するためにチェーンとして作成されます」と Kaspersky は指摘しています。
「それらは、さまざまな形式(VBS スクリプト、PowerShell スクリプト、バックドアが仕掛けられる可能性のあるオープンソース コードを持つ既知のソフトウェア、社内で構築された .net アプリ)にもかかわらず、主に永続化メカニズムと単純な命令で構成されています。」
攻撃を懸念する方は、このグループが企業への侵入に用いるスピアフィッシングの手口に注意する必要があります。報告書では、このグループは主に政治活動に重点を置いているため、政治や国際情勢を煽るような一方的な添付ファイルや不審な添付ファイルには注意を払う(あるいは全く対処しない)必要があると指摘しています。®
