「TetrisPhantom」と名付けた非常に標的を絞ったこのスパイ行為は、ハードウェアの暗号化で保護されたUSBメモリを悪用し、APAC地域の政府機関から機密データを窃取していました。少なくとも2017年から6年にわたる攻撃活動は現在も続いています。
本リリースは、2023年10月17日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、ある特定の種類のセキュアなUSBメモリを悪用した、長期にわたり継続しているAPT(持続的標的型)攻撃活動を発見しました。「TetrisPhantom(テトリスファントム)」と名付けたこのスパイ行為は、少なくとも2017年から6年にわたり続いていますが、既知の攻撃者との関連性をうかがわせるものはありません。調査では、アジア太平洋(APAC)地域のある政府機関を狙った非常に標的を絞った攻撃活動であることが判明しています。この攻撃活動は現在も続いているため、GReATのリサーチャーは引き続き状況を注視しています。
2023年5月、GReATのリサーチャーは、ある特定の種類のセキュアなUSBメモリを悪用した長期的なスパイ活動を発見しました。この攻撃活動は、ハードウェアの暗号化で保護されたUSBメモリを悪用し、APAC地域の政府機関から機密データを窃取していました。今回調査した攻撃活動は対象をかなり絞っていますが、ハードウェアの暗号化で保護される種類のUSBメモリは一般的に広く使用されているため、同じ手法による攻撃に遭遇している政府機関はほかにも存在する可能性があります。TetrisPhantomに関連する攻撃活動は、少なくとも6年前から行われていました。
攻撃者が悪用したUSBメモリには暗号化で保護されたパーティションが存在しており、暗号化されていない部分にバンドルされたカスタムソフトウェアと、ユーザーのみが知っているパスフレーズによってアクセスすることができます。攻撃者はそのカスタムソフトウェアをトロイの木馬化し、複数の悪意のあるモジュールを使用して侵入先のマシンを広範囲にわたって制御することが可能になっていました。
攻撃者は各種コマンドを実行して不正にアクセスしたマシンからファイルや情報を収集し、同じ、または別のセキュアなUSBメモリを介して別のマシンに移動させることができます。さらにこの攻撃活動では、侵入先のシステムでほかの悪意のあるファイルを実行し、情報を収集し窃取することも可能です。
現時点で既知の攻撃者との関連性は見られていませんが、この攻撃活動は現在も続いているため、リサーチャーは引き続き状況を注視しています。また、今後、さらに高度な攻撃活動が発生する可能性があると予測しています。
Kaspersky GReATのシニアセキュリティリサーチャー ノーシン・シャバブ(Noushin Shabab)は、次のように述べています。「この攻撃活動は、仮想化ベースのソフトウェアの難読化、SCSIコマンドを直接使用したUSBメモリとの低レベル通信、セキュアなUSBメモリの接続による自己複製など、非常に高度な手口であることが明らかになりました。攻撃者は高度なスキルとリソースを持ち、機密性が高く保護された政府組織ネットワーク内でのスパイ行為に強い関心を持っています」
■ TetrisPhantomの詳細は、GReATの定期的なAPTレポートに含まれています。そのほかのAPTについてもSecurelistブログ(英語)「APT trends report Q3 2023」でご覧いただけます。
■ 既知または未知の攻撃者による標的型攻撃から企業を守るために、以下の対策を講じることをお勧めします。
・オペレーティングシステム、アプリケーション、アンチウイルスソフトウェアを定期的に更新し、既知の脆弱(ぜいじゃく)性にパッチを適用してください。
・機密情報について尋ねてくるメールやメッセージ、電話に注意してください。個人情報を教えたり、疑わしいリンクをクリックする前に、送信者の身元を確認してください。
・SOCチームが最新の脅威インテリジェンスにアクセスできるようにしてください。Kaspersky Threat
Intelligence Portalは、当社の脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供しています。
・GReATのエキスパートが担当したKasperskyオンライントレーニングを活用して、サイバーセキュリティチームのスキルアップを図り、最新の標的型攻撃に対抗できるようにしてください。
・インシデントをエンドポイントレベルで検知、調査し、迅速に修復するために、Kaspersky
Endpoint Detection and ResponseなどのEDRソリューションを実装してください。
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。