サイバースパイ活動「NetTraveler」、10 年を経て大幅にバージョンアップ ‐最新APT バックドアを使用した攻撃が増加

2014年9月10日
ウイルスニュース

[本リリースは、2014 年8月27日にKaspersky Labより発表されたプレスリリースの抄訳です]

世界的なサイバースパイ活動で知られる「Operation NetTraveler」が初めて確認されてから 10 年が経ちました。当初、NetTraveler は 40 か国で350 を超える有名企業や政府機関を標的に攻撃を行いましたが、Kaspersky Lab は今年に入り、ウイグルとチベットの活動家を標的とした、新しい暗号化方式の NetTraveler バックドアを利用した攻撃の増加を確認しました。また今回の調査では、香港に 7 台、米国に 1 台の C&C サーバーを発見しています。

業種別に見た近年の NetTraveler の標的

主な業種別の標的は次のとおりです。

外交(32%)、政府(19%)、民間(11%)、軍事(9%)、工業およびインフラ(7%)、航空宇宙(6%)、研究(4%)、活動家(3%)、金融(3%)、IT(3%)、医療(2%)、報道(1%)

感染手法:「新たな」バックドア

今回の攻撃は、活動家への標的型攻撃メールが発端とみられています。そのメールには 2 つの添付ファイルがあり、1 つは無害な JPG ファイルでしたが、もう 1 つの DOC ファイルには、CVE-2012-0158のエクスプロイトが含まれており、Kaspersky Lab は、このファイルがMicrosoft Office の簡体字中国語バージョンを使用するシステムで作成されたことを確認しています。このファイルをぜい弱なバージョンの Microsoft Office で開くと、CVE-2012-0158 のエクスプロイトによって Trojan-Dropper が実行され、最終的にはメインモジュールの Trojan-Spy に感染します。今回の攻撃で使用された検体と過去の検体では、難読化の目的で行ったと想定される、マルウェアの config ファイルを隠すための変更が加えられていた点が異なります。攻撃に成功すると、NetTraveler は DOC、XLS、PPT、RTF、PDF などの一般的な形式のファイルを盗み出します。

8 台の C&C サーバーを発見

今回発見した 8 台の C&C サーバーのうち、7 台は Shanghai Meicheng Technology によって登録されており、IP は香港(Trillion Company、Hongkong Dingfengxinhui Bgp Datacenter、Sun Network Limited、Hung Tai International Holdings)のもので、残りの1 台は Todaynic.com Inc によって登録され、IP は米国(Integen Inc)でした。Kaspersky Lab のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)※1は、Securelist.com のブログに列挙したすべての悪質ホストをファイアウォールでブロックするように推奨しています。
「調査の結果、NetTraveler の C&C サーバーには 22GB 以上の盗まれたデータが保存されていると推計しています。活動家に対する最新の攻撃から考えると、さらに 10 年にわたって同様の活動が続く可能性があります。セキュリティ企業が最も高度な脅威を分析したのはそれほど昔の話ではありませんが、NetTraveler の例は、脅威が長期間姿を隠し続ける可能性を示しています」とKaspersky Lab、GReAT のプリンシパルセキュリティリサーチャー、 コート・バウムガートナー(Kurt Baumgartner) はコメントしています。

最新の NetTraveler マルウェアを防ぐためには

  • Securelist.com のブログで列挙している悪質ホストをファイアウォールでブロックする
  • Microsoft Windows と Microsoft Office を最新のバージョンに更新する
  • 特に、差出人不明のメールではリンクをクリックせず、また添付ファイルを開かない
  • Google Chrome などの安全性の高いブラウザーを利用する(Chrome は Microsoft の Internet Explorer よりも開発サイクルとパッチ作成のサイクルが早い)

Kaspersky製品は、NetTraveler ツールキット が使用する悪質なプログラムとその亜種を検知し、無効化します。悪質なプログラムには、Trojan-Dropper.Win32.Agent.lifr、Trojan-Spy.Win32.TravNet、Trojan-Spy.Win32.TravNet.qfr、Trojan.BAT.Tiny.b、Downloader.Win32.NetTraveler などがあります。

Kaspersky製品は、標的型攻撃に使用される Microsoft Office のエクスプロイトExploit.MSWord.CVE-2010-333、Exploit.Win32.CVE-2012-0158、Exploit.MSWord.CVE-2012-0158.db などを検知します。

NetTraveler の詳細については、Securelist.com のブログをご覧ください。

関連記事

※1 Global Research and Analysis Team(GReAT:グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。