Kaspersky Lab、サイバー犯罪組織同士の攻撃を確認

2015年4月15日
ウイルスニュース

[本リリースは、2015年4月15日にKaspersky Labが発表したプレスリリースの抄訳です]

Kaspersky Labの調査分析チーム(GReAT)※1は、サイバー犯罪者同士が互いを攻撃するという極めて珍しいケースを確認しました。主にアジアの政府組織や外交機関を攻撃対象にしている小規模なサイバースパイグループHellsingは、攻撃の技術面で目立った点はありませんが、2014年に別のサイバー犯罪グループからスピア型フィッシングメールの攻撃を受けたことをきっかけに、反撃を開始したことがわかりました。Kaspersky Labは、これがサイバー犯罪活動における新たなトレンド、標的型攻撃(APT)戦争の兆しだと考えています。

今回確認されたケースは、Kaspersky Labのアナリストが、アジア太平洋地域の組織を攻撃するサイバースパイグループであるNaikonの活動を調査する中で発見しました。それは、スピア型フィッシングメールに添付された悪意あるファイルによって、Naikonがシステムへの感染を試みる攻撃をしていた組織のうちの1つが、Naikonの活動を突き止めていたという事実がアナリストの目にとまりました。

具体的には、このスピア型フィッシングメールを不審に思ったNaikonの被攻撃者は、メール送信者に内容を確認するメールを返信しましたが、納得のいく回答が得られなかったため添付ファイルは開きませんでした。その後、Naikonの被攻撃者は、独自に開発したマルウェアをメールに添付し、攻撃者のメールに返信しました。この一連の動きがきっかけとなり、Kaspersky Labのアナリストが調査を始め、Hellsing APTグループの発見につながりました。

Naikonに攻撃されたHellsingの反撃方法から推測すると、HellsingはNaikonグル―プの正体を突き止めたのち、同グループに関する情報を収集しようとしていたと考えられます。

Hellsingが攻撃に利用したスピア型フィッシングメールをKaspersky Labが調査・分析した結果、そこに添付されていた悪意あるファイルは、さまざまな組織にスパイマルウェアを拡散させるために設計されたものでした。この添付ファイルはシステムをバックドアに感染させ、ファイルのダウンロードとアップロードのほか、マルウェア自体の更新や削除といった機能も備えていました。調査の結果では、約20の組織がHellsingの攻撃対象となっていました。

■Hellsingの攻撃対象

カスペルスキーは、Hellsingのマルウェアをマレーシア、フィリピン、インド、インドネシア、米国で検知し、ブロックしています。Hellsingの攻撃の大半はマレーシアとフィリピンの組織で、主に政府組織と外交機関に対象を絞っています。

GReATのディレクター コスティン・ライウ(Costin Raiu)は、次のように述べています。「HellsingによるNaikonグループへの攻撃は、ある意味で復讐心を持った『帝国の逆襲』スタイルであり、興味深いものです。これまでも、APTグループが誤って互いを攻撃したことはあり、その時は攻撃対象から盗み出した連絡先リストに掲載されていた全員にメールを大量送信していました。今回の攻撃は、攻撃対象の選択や発生源を考えると、APTによるAPTグループに対する故意の攻撃であるという可能性が高いでしょう」

Kaspersky Labの分析では、Hellsingの活動は少なくとも2012年から始まり、現在も続いています。

■攻撃からの保護

Hellsingからの攻撃を防ぐために、基本的なセキュリティ対策を推奨します。

  • 見知らぬユーザーから不審な添付ファイルは開かない
  • パスワードで保護され、SCRなどの実行可能ファイルが保存されたアーカイブに注意する
  • 添付ファイルについて不審な点がある場合は、サンドボックス内で開く
  • 最新のパッチがすべて適用されたOSを使用する
  • Microsoft Office、Java、Adobe Flash Player、Adobe Readerなど、すべてのサードパーティアプリケーションを最新の状態に保つ

カスペルスキー製品は、HellsingとNaikonの両方が使用するマルウェアを検知し、ブロックします。サイバー犯罪グループHellsingと『Empire Strikes Back』(帝国の逆襲)スパイ活動について詳しくは、Securelist.comをご覧ください。


※1 Global Research and Analysis Team(グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。