米国ホワイトハウスや国務省、ドイツ、韓国、ウズベキスタンの政府組織や民間企業も標的となったと見ています。ロシア語を使う人物が関わっていることを示す証拠が数多く見つかっている「MiniDuke」「CosmicDuke」「OnionDuke」といった、既知のサイバースパイ活動のツールセットと構造上の類似点もあります。
[本リリースは、2015年4月22日にKaspersky Labが発表したプレスリリースの抄訳です]
Kaspersky Labの調査分析チーム(GReAT)※1は、知名度の高い組織を攻撃対象とする高度なサイバースパイ活動「CozyDuke」を発見しました。米国ではホワイトハウスや国務省が攻撃対象になったと見ており、さらにドイツ、韓国、ウズベキスタンの政府組織や民間企業も標的となっています。
この攻撃グループの憂慮すべき特徴は、重要な政府機関や有名企業に的を絞ると同時に、暗号化機能とセキュリティ製品による検知回避機能を備えていることです。たとえば、攻撃に使用しているマルウェアは、Kaspersky、Sophos、Dr.Web、Avira、Crystal Security、Comodo Dragonといった複数のセキュリティ製品の存在を確認し、検知を回避するようにコーディングされています。
他のサイバースパイグループとのつながり
「CozyDuke」は強力で悪質な機能を備えると同時に、ロシア語を使う人物が関わっていることを示す証拠が数多く見つかっている「MiniDuke」「CosmicDuke」「OnionDuke」といった、既知のサイバースパイ活動のツールセットと構造上の類似点もあります。「MiniDuke」と「CosmicDuke」は現在も活動中で、数多くの国の外交機関や大使館、電力・石油・ガス・通信などの民間企業、軍事、教育・研究機関などを攻撃しています。
拡散の手法
「CozyDuke」グループは、スピア型フィッシングメールを攻撃手法として多用します。メールには、ハッキング済みの有名な正規サイトなどへのリンクが記載されており、そこにマルウェアを含んだZIPファイルが置かれています。また、Flash動画に見せかけた悪意ある実行可能ファイルをメールに添付して送信することもあり、非常に大きな被害が発生しています。
「CozyDuke」はバックドアとドロッパーを使用しています。標的の情報をC&Cサーバーに送信し、設定ファイルの取得と攻撃のために必要なモジュールを追加で実行します。
GReATのプリンシパルセキュリティリサーチャー コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「2013年に発見したMiniDukeの最古のサンプルは2008年のものでした。私たちはCosmicDukeも数年にわたり監視していますが、この2つの攻撃グループは、継続して標的を追跡しています。CozyDukeがこの2つの攻撃活動や、OnionDukeとつながりを持っていることは間違いありません。スパイツールはすべて、ロシア語を使う人物よって作成・管理されているものと考えられます」
「CozyDuke」攻撃リスクを軽減するための対策
- 差出人不明のメールはリンクをクリックせず、また添付ファイルを開かない
- 最新の高度なセキュリティ製品を使って、PCを定期的にスキャンする
- SFXファイルが含まれたZIPアーカイブに注意する
- 添付ファイルに不審な点がある場合は、サンドボックス内で開く
- OSには常に最新のパッチを適用する
- Microsoft Office、Java、Adobe Flash Player、Adobe Readerなど、すべてのサードパーティアプリケーションを最新の状態に保つ
カスペルスキー製品での「CozyDuke」の検知名は次のとおりです。
HEUR:Trojan.Win32.CozyDuke.gen、Trojan.Win32.CozyBear.*
■「CozyDuke」の詳細は以下のブログをご覧ください。
Securelist.com
https://securelist.com/blog/69731/the-cozyduke-apt/
Kaspersky Dailyブログ
https://blog.kaspersky.co.jp/no-monkeys-for-cozyduke/
※1 Global Research and Analysis Team(グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。