進化するAPT: サイバー攻撃グループ「Darkhotel」が、Hacking Team社から漏洩したゼロデイエクスプロイトで攻撃を強化
高級ホテルのネットワークに侵入し、VIP宿泊者の機密情報を搾取していた同グループは、その後の調査から、Hacking Team社が不正侵入を受けて漏洩したゼロデイ脆弱性を悪用したエクスプロイトを用い、現在も攻撃を継続していることがわかりました。
2014年11月にKaspersky Labの調査分析チーム(GReAT)※1がその存在を明らかにしたサイバー攻撃グループ「Darkhotel」は、高級ホテルのネットワークに侵入し、VIP宿泊者の機密情報を搾取していました。その後の調査から、当グループはAdobe Flash PlayerやWindows OSのゼロデイ脆弱性を悪用したエクスプロイトを用い、攻撃を強化していたことが分かりました。これらの脆弱性は、合法スパイウェアを政府組織や警察機関に販売していたとされるHacking Team社が不正侵入を受けて漏洩したもので、多方面で本脆弱性を突いた攻撃が確認されています。
弊社では、これまでの数年間にDarkhotelグループが悪用したAdobe Flash Playerのゼロデイ脆弱性は5~6件以上と推測しており、攻撃ツールの拡充に莫大な資金が投じられていると見ています。現在、同グループは攻撃対象を世界各国に拡大すると同時に、北朝鮮、韓国、ロシア、日本、バングラデシュ、タイ、インド、モザンビーク、ドイツの標的に対するスピア型フィッシング攻撃も継続しています。
Hacking Team社から漏洩したゼロデイエクスプロイトの利用
GReATのセキュリティリサーチャーは、8年近く活動を続けるDarkhotelグループを注視してきました。2014年以前の攻撃では、窃取したコードサイニング証明書を不正利用し、高級ホテルのネットワークに侵入、標的システムにスパイツールをインストールするといった珍しい手法を用いていました。現在でも多くの攻撃にこの手法が用いられ、窃取した証明書の継続的な利用や執拗なソーシャルエンジニアリングによるなりすましに加え、新たにHacking Team社から流出したゼロデイ脆弱性を悪用した攻撃が確認されました。
- 窃取した証明書の利用: 同グループは、盗んだ証明書を大量に保有し、ダウンローダーやバックドアにそれらの証明書を利用して署名することで、標的システムの目を欺いているものと見られます。最近無効となった証明書にXuchang Hongguang Technology Co. Ltdのものがありますが、同社の証明書は、Darkhotelグループの過去の攻撃で利用されていました。
- 執拗なスピア型フィッシング: Darkhotelグループは極めて執拗な標的型攻撃(APT)を行います。仕掛けたスピア型フィッシング攻撃が失敗した場合でも、再度、数か月後に同様のソーシャルエンジニアリング手法で標的への感染を試みます。
- Hacking Team社ゼロデイエクスプロイトの利用: Darkhotelグループによる攻撃で改ざんされたサイトtisone360.comには、一連のバックドアとエクスプロイトが含まれていました。特に興味深いのは、同社から漏洩したとみられるAdobe Flash Playerのゼロデイ脆弱性が利用されていたことです。
Kaspersky Labのプリンシパルセキュリティリサーチャー コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「再び活発化したDarkhotelグループの活動では、Hacking Team社から流出した新しいAdobe Flash Playerのエクスプロイトが、改ざんしたサイトにホストされていました。以前は、別のFlashエクスプロイトを同サイトにホストしており、弊社が2014年1月にゼロデイ脆弱性としてAdobe社に報告しています。世界各国の要職にある人物を正確に攻撃するため、さらに多くのエクスプロイトを蓄積している可能性もあります」
同グループは、セキュリティ製品による検知を回避する技術の強化にも積極的に取り組んでおり、2015年版のダウンローダーでは、アンチウイルスベンダー27社の製品による検知を回避する設計が施されています。
カスペルスキー製品は最新のDarkhotel攻撃に対応しており、検知名は次のとおりです。
Trojan.Win32.Darkhotel 、Trojan-Dropper.Win32.Dapato
- 本攻撃の詳細な技術情報については、Securelist.comのブログ記事(英語)をご参照ください。
https://securelist.com/blog/research/71713/darkhotels-attacks-in-2015 - 昨今の標的型攻撃に対抗し、脅威を軽減するための推奨対策方法はこちらの資料をご参照ください。
「APT 今そこにある脅威 ~ 先進的なサイバー攻撃に対する効果的な対策のために」
※1 Global Research and Analysis Team(グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
進化するAPT: サイバー攻撃グループ「Darkhotel」が、Hacking Team社から漏洩したゼロデイエクスプロイトで攻撃を強化
Kaspersky
関連記事 ウイルスニュース
Kaspersky Lab、インターポール主導のASEAN地域を対象としたサイバー犯罪捜査活動に参加
ASEAN地域においてインターポールが主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。詳しくはこちら >インターポールをはじめ30以上の新規パートナーが「No More Ransom」プロジェクトに参加、新たに15の復号ツールを公開
2016年7月に発足した官民連携のランサムウェア対抗プロジェクトに、新たに30超の組織が参加し、計87組織となりました。今回、15の復号ツールが追加され、ポータルサイトも日本語をはじめ14の言語で利用が可能になりました。2016年12月以来、全世界で1万人以上のユーザーが同プロジェクトで提供されている復号ツールを利用して、攻撃を受けたデバイスを復号することに成功しています。詳しくはこちら >Kaspersky Lab、悪名高きサイバー犯罪組織「Lazarus」を追跡調査し、 金融機関からの大規模な金銭窃取の回避に貢献
Kaspersky Labのグローバル調査分析チームは、2016年にバングラデシュ中央銀行から8,100万ドルを窃取したとされるサイバー犯罪組織「Lazarus」を、1年以上に渡り調査した結果を発表しました。この分析結果から得られた知見は、Lazarusが別の金融機関を狙い、多額の金銭窃取を目的とした攻撃活動を中断させる手助けとなりました。詳しくはこちら >