2014年11月にKaspersky Labの調査分析チーム(GReAT)※1がその存在を明らかにしたサイバー攻撃グループ「Darkhotel」は、高級ホテルのネットワークに侵入し、VIP宿泊者の機密情報を搾取していました。その後の調査から、当グループはAdobe Flash PlayerやWindows OSのゼロデイ脆弱性を悪用したエクスプロイトを用い、攻撃を強化していたことが分かりました。これらの脆弱性は、合法スパイウェアを政府組織や警察機関に販売していたとされるHacking Team社が不正侵入を受けて漏洩したもので、多方面で本脆弱性を突いた攻撃が確認されています。
弊社では、これまでの数年間にDarkhotelグループが悪用したAdobe Flash Playerのゼロデイ脆弱性は5~6件以上と推測しており、攻撃ツールの拡充に莫大な資金が投じられていると見ています。現在、同グループは攻撃対象を世界各国に拡大すると同時に、北朝鮮、韓国、ロシア、日本、バングラデシュ、タイ、インド、モザンビーク、ドイツの標的に対するスピア型フィッシング攻撃も継続しています。
GReATのセキュリティリサーチャーは、8年近く活動を続けるDarkhotelグループを注視してきました。2014年以前の攻撃では、窃取したコードサイニング証明書を不正利用し、高級ホテルのネットワークに侵入、標的システムにスパイツールをインストールするといった珍しい手法を用いていました。現在でも多くの攻撃にこの手法が用いられ、窃取した証明書の継続的な利用や執拗なソーシャルエンジニアリングによるなりすましに加え、新たにHacking Team社から流出したゼロデイ脆弱性を悪用した攻撃が確認されました。
Kaspersky Labのプリンシパルセキュリティリサーチャー コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「再び活発化したDarkhotelグループの活動では、Hacking Team社から流出した新しいAdobe Flash Playerのエクスプロイトが、改ざんしたサイトにホストされていました。以前は、別のFlashエクスプロイトを同サイトにホストしており、弊社が2014年1月にゼロデイ脆弱性としてAdobe社に報告しています。世界各国の要職にある人物を正確に攻撃するため、さらに多くのエクスプロイトを蓄積している可能性もあります」
同グループは、セキュリティ製品による検知を回避する技術の強化にも積極的に取り組んでおり、2015年版のダウンローダーでは、アンチウイルスベンダー27社の製品による検知を回避する設計が施されています。
カスペルスキー製品は最新のDarkhotel攻撃に対応しており、検知名は次のとおりです。
Trojan.Win32.Darkhotel 、Trojan-Dropper.Win32.Dapato
※1 Global Research and Analysis Team(グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。