～データ詐取・監視目的の悪質なツールキット NetTraveler、重要施設で 350 件の感染被害～

本リリースは、2013年 6 月 4 日にロシア モスクワにて発表されたニュースリリースの抄訳です。

本日 Kaspersky Lab のエキスパートチームは、マルウェア「NetTraveler」に関する調査レポートを公開しました。NetTraveler は APT 攻撃に使用されるマルウェアファミリーで、40 か国の重要施設に侵入し 350 件もの被害をもたらしています。このマルウェアは公的・民間施設に侵入し、被害対象は政府機関、大使館、石油ガス産業、研究施設、軍事関連企業、活動家などに及んでいます。

Kaspersky Lab の調査で、この脅威は 2004 年にはすでに活動を開始しており、2010 ～ 2013 年にかけて最も活発になっているということが分かりました。最近の NetTraveler グループのサイバースパイ活動は、宇宙探査、ナノテクノロジー、エネルギー生産、原子力、レーザー、医薬、通信といった分野を主な対象としています。

感染方法：

• 手の込んだスピアフィッシング型メールに、頻繁に悪用される 2 つの脆弱性（CVE-2012-0158およびCVE-2010-3333）を攻撃する Microsoft Office 形式の悪質ファイルを添付して感染させます。これらの脆弱性に対しては既に Microsoft がパッチを提供しているのにもかかわらず、現在も標的型攻撃に利用され被害をもたらしています。
• スピアフィッシング型メールに添付された悪性ファイルのタイトルは攻撃対象に合わせて巧妙にカスタマイズされており、NetTraveler グループの執拗さが伺われます。以下が、悪質な添付ファイル名の例です。
  • Army Cyber Security Policy 2013.doc
  • Report - Asia Defense Spending Boom.doc
  • Activity Details.doc
  • His Holiness the Dalai Lama’s visit to Switzerland day 4
  • Freedom of Speech.doc

データの詐取と抽出：

• Kaspersky Lab のエキスパートチームは NetTraveler の複数のコマンド＆コントロール（C&C）サーバーから感染に関するログを入手しました。C&C サーバーは、感染マシン上に別のマルウェアをインストールしたり、詐取したデータを抽出したりするために使用されていました。NetTraveler の C&C サーバーに格納されたデータ量は 22 ギガバイト以上になると見積もられています。
• 感染マシンから抽出されたデータには、システムリスト、キー操作ログ、および各種 PDF/Excel/Word ファイルが含まれていました。加えて、NetTraveler ツールキットはバックドアとして別の情報詐取用マルウェアをインストールする機能も持ち、また特定のアプリケーションの設定内容や CAD ファイルなどの機密情報の詐取を行えるようにカスタマイズすることも可能です。

各国の感染情報：

• NetTraveler の C&C データの分析により、合計で 40か国、350 件の被害が確認されました。被害が確認された国の例：米国、カナダ、英国、ロシア、チリ、モロッコ、ギリシャ、ベルギー、オーストリア、ウクライナ、リトアニア、ベラルーシ、オーストラリア、香港、日本、中国、モンゴル、イラン、トルコ、インド、パキスタン、韓国、タイ、カタール、カザフスタン、ヨルダン。
• C&C データの分析と平行し、Kaspersky Security Network（KSN）を利用して詳細な感染統計データを収集しました。KSN で検知された国別の被害件数トップ 10 は次の通りです。モンゴル、ロシア、インド、カザフスタン、キリギスタン、中国、タジキスタン、韓国、スペイン、ドイツ。

さらなる事実

• Kaspersky Lab による NetTraveler の分析の過程で、NetTraveler とレッドオクトーバーの両方に感染したケースが 6 件確認されました。レッドオクトーバーは、また別のサイバースパイ活動で、2013 年 1 月に Kaspersky Lab が分析を行っています。NetTraveler とレッドオクトーバーの攻撃者間の直接的なつながりはまだ発見されていませんが、特定の対象者がこれら両方の攻撃を受けたことから、このような重要人物の情報は、商品価値があるために、複数の攻撃者から狙われていることがわかります。

NetTraveler による感染の兆候、復旧方法、およびその悪質なコンポーネントなどを含む分析結果の詳細については、Securelist を参照してください。
http://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims

カスペルスキー製品は、NetTraveler による攻撃で使用される悪性プログラムとその変種（例：Trojan-Spy.Win32.TravNet、Downloader.Win32.NetTraveler）を検知・駆除します。またスピアフィッシング攻撃で使用される Microsoft Office 製品用エクスプロイト（例：Exploit.MSWord.CVE-2010-333、Exploit.Win32.CVE-2012-0158）も検知します。

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については http://www.kaspersky.co.jp/ をご覧ください。