Kaspersky Lab のエキスパートは、最近発見された Adobe Reader に内在するぜい弱性(CVE-2013-6040)を悪用する PDF エクスプロイトと、「MiniDuke」 という高度にカスタマイズされた悪性プログラムを使用した一連のセキュリティインシデントに関する新しい分析レポートを発表しました。
~新しい脅威の仕掛け人グループ、「正統派」かつ高度なマルウェア作成スキルと Adobe Reader のぜい弱性を悪用する最新のエクスプロイトを組み合わせ、重要拠点から地政学的な機密情報を収集~
本リリースは、2013年 2 月27 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab のエキスパートは、最近発見された Adobe Reader に内在するぜい弱性(CVE-2013-6040)を悪用する PDF エクスプロイトと、「MiniDuke」 という高度にカスタマイズされた悪性プログラムを使用した一連のセキュリティインシデントに関する新しい分析レポートを発表しました。「MiniDuke」 のバックドアは先週、世界各国の政府機関に対する攻撃で使用されました。Kaspersky Lab のエキスパートは CrySys Lab 社と協力してこの攻撃の詳細分析を行い、その結果を発表しました。
Kaspersky Lab の分析により、ウクライナ、ベルギー、ポルトガル、ルーマニア、チェコ共和国、アイルランドの政府機関を含む多数の重要な組織がすでに 「MiniDuke」 に感染していることが分かりました。さらに米国の研究機関、シンクタンク 2 社および医療機関、さらにハンガリーの有名な研究財団でも感染が認められました。
Kaspersky Lab の創業者であり CEO のユージン・カスペルスキー(Eugene Kaspersky)は次のようにコメントしています。「これは非常に珍しいサイバー攻撃です。このマルウェアのプログラミングはまるで 1990 年終盤から 2000 年初頭のスタイルのようです。これを書いたマルウェア作者は 10 年以上も冬眠した後に突然目覚め、サイバー世界で暗躍するレベルの高い脅威の仕掛け人グループに加わったのでしょうか。このような「正統派」のエリートマルウェア作者は、かつて非常に高い能力を発揮して複雑なウイルスの作成を行っていました。そして今、彼らのスキルとサンドボックス回避機能を備え新しく進化したエクスプロイトとが組み合わされ、複数の国の政府組織や研究機関を攻撃しています。」
「MiniDuke の高度にカスタマイズされたバックドアは、アセンブラ言語で記述され、わずか 20KB と非常に小型です。新しく開発されたエクスプロイトを使いこなす経験豊かなマルウェア作者と、重要な組織を感染させる巧妙なソーシャルエンジニアリングの手法が組み合わされば、極めて危険になるでしょう。」
Kaspersky Lab による主な分析結果
- MiniDuke の攻撃者集団は現在もなお活動中で、2013 年 2 月 20 日時点でもマルウェアを作成し続けています。感染手法としては、標的の組織に悪質な PDF ドキュメントを送りつけるという非常に効果の高いソーシャルエンジニアリング技術を採用しています。このようなドキュメントは、アジア欧州会議の人権問題に関するセミナーの案内や、ウクライナの外交政策、NATO のメンバーシップ計画のように、相手に合わせて巧みに作り込まれた内容となっています。このような悪質な PDF ファイルには、Adobe Reader のバージョン 9、10、11 のサンドボックスを回避して攻撃を行うエクスプロイトが仕込まれています。これらのエクスプロイトを作成するために、あるツールキットが使われていましたが、これは FireEye 社が報告した、最近の攻撃で使われたツールキットと同じものでした。ただし、MiniDuke の攻撃で使用されたエクスプロイトはそれとは異なる目的のために使用され、マルウェアも独自にカスタマイズされていました。
- システムがマルウェア感染すると、被害マシンのディスク上にわずか 20KB の超小型のダウンローダーがドロップされます。このダウンローダーはシステムごとに固有のもので、アセンブラ言語で書かれカスタマイズされたバックドアを含んでいます。システムブート時にロードされると、このダウンローダーはある計算を行いコンピューターに一意のフィンガープリントを決定します。そしてこのデータを使用してその後の通信を一意的に暗号化します。また、VMware のような特定の環境内でハードコード化されたツールセットによる分析を回避するようプログラムされています。このような分析が行われる兆候を察知すると、その環境内でアイドル状態に入り、それ以降の段階に進んで自身を復号化することにより、その機能が露呈することがないようにします。このことは、マルウェアを分析・特定するために、アンチウイルス製品や IT セキュリティのプロが何を行っているかを、このマルウェアの作者が熟知していることを示しています。
- 標的とするシステムが事前定義された要件を満たしている場合、マルウェアは(ユーザーに気付かれないように)Twitter を使用して、事前に作成しておいたアカウントを使って特定のツイートを検索します。これらのアカウントは MiniDuke の コマンド&コントロール(C&C) 運営者が作成したもので、ツイートには特定のタグが含まれ、バックドア用の暗号化された URL が表示されます。これらの URL は C&C サーバーへのアクセスに使用され、その後 C&C サーバーはコマンドや GIF ファイルを使用してシステム上に追加のバックドアを暗号化して送信します。
- 分析により、MiniDuke の作成者はユーザーに気付かれずに稼動する動的なバックアップ手段を採用していることが明らかになりました。Twitter が動作していないか、あるいはアカウントが使用されていない場合には、マルウェアは Google 検索を使用して次の C&C サーバーへアクセスするための暗号化された文字列を検索します。これは柔軟性に優れたモデルであり、マルウェアの運営者は、彼らのバックドアがコマンドまたはマルウェアコードを取得する方法を必要に応じていつでも変更できるようにしています。
- 感染システムが C&C サーバーを見つけると、暗号化されたバックドアを受信します。バックドアは GIF ファイル内で難読化され、被害者のマシン上では画像に見えるように偽装されています。このバックドアがマシンにダウンロードされると、サイズの大きな別のバックドアをダウンロードできるようになります。このバックドアは、ファイルのコピー、移動、削除、ディレクトリの作成、プロセスの強制終了、そしてもちろん新しいマルウェアのダウンロードと実行といった基本的なアクションを実行します。
- このマルウェアのバックドアは 1 つはパナマ、もう 1 つはトルコに存在する 2 つのサーバーに接続し、攻撃者からの指示を受信しています。
Kaspersky Lab による MiniDuke による攻撃の分析結果の全文および防御のための推奨事項については、Securelist をご覧ください(英語のみ)。
CrySys Lab によるレポートは次のページで参照できます(英語のみ)。
http://blog.crysys.hu/2013/02/miniduke/
Kaspersky Labの製品は、MiniDuke マルウェアを「HEUR:Backdoor.Win32.MiniDuke.gen」および「Backdoor.Win32.Miniduke」として検知し、駆除を行います。また、PDF ドキュメント内で使用されるエクスプロイトを「Exploit.JS.Pdfka.giy」として検知します。
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については
http://www.kaspersky.co.jp/
をご覧ください。
