世界各国のICS/SCADA企業、エネルギー企業を標的として活動してきた「BlackEnergy」グループが、マクロ付きWordファイルを使用したフィッシングメールを利用し、ウクライナの組織を標的にしていることがわかりました。
[本リリースは、2016年1月28日にKaspersky Labが発表したプレスリリースの抄訳です]
Kaspersky Labの調査分析チーム(GReAT)※1は、ロシア語話者のAPTグループ「BlackEnergy」による未知の攻撃の兆候を確認しました。GReATが発見したスピア型フィッシングに使われた文書には、ウクライナの極右国家主義政党「Right Sector」についての記述があり、同国のテレビ局「STB」に対する攻撃で使用されたものとみられます。
BlackEnergyは非常に活動的なAPTグループです。ウクライナでの最近の攻撃から、産業用制御システム(ICS)への侵入やサイバースパイ活動のほか、破壊活動が主な目的と考えられます。当初、BlackEnergyはDDoS攻撃の機能を備えたクライムウェアでしたが、その後大幅に機能が拡張され、2015年末にウクライナの複数の重要分野に対して相次ぎ行われたAPT攻撃など、地政学的な活動で使用されるようにもなりました。BlackEnergyは現在も活動中であり、深刻な危険をもたらしています。
2015年の後半、BlackEnergyグループは悪性のマクロを埋め込んだExcelファイルを添付したスピア型フィッシングメールで標的ネットワーク内のコンピューターを感染させていました。しかし、今年1月にKaspersky Labのリサーチャーが発見したものにはWordファイルが利用されていました。このWordファイルを開こうとすると、コンテンツを表示するためにマクロを有効にするよう求めるダイアログが表示され、マクロを有効化するとBlackEnergyマルウェアに感染します。
BlackEnergyマルウェアは、標的のコンピューターの基本情報を指令サーバーに送信しますが、その中には標的のIDを示すとみられる文字列が含まれています。Kaspersky Labのリサーチャーが解析した文書には「301018stb」というIDが含まれており、「stb」は2015年10月のBlackEnergyワイパー攻撃の標的として名前が挙がったテレビ局の「STB」を示している可能性があります。
感染後には、別のマルウェアがダウンロードされる場合もあります。追加でダウンロードされるペイロードの役割は使用されるトロイの木馬のバージョンによって異なり、サイバースパイ活動からデータ消去まで多岐にわたります。
GReATのディレクター、コスティン・ライウ(Costin Raiu)は次のように述べています。「BlackEnergyグループは、ウクライナの組織への攻撃にExcelファイルとPowerPointファイルを使用していました。Wordファイルの使用も予測しており、今回の事実は弊社の予想の裏付けとなります。今後は、マクロ付きWordファイルを使用したAPT攻撃が増加すると予測されます。たとえば、先ごろTurla APTグループがマクロ付きWordファイルを使用して、同様の攻撃を実行したことを確認しており、こうした攻撃の多くが成功していることから、利用が拡大しているものと考えられます」
Kaspersky Labは、BlackEnergy APTグループが2014年に世界各地のICSやエネルギー分野を標的にSCADA関連のプラグインを拡散し始めた時期から注視しており、現在は次の分野で活動していると推測しています。
- ウクライナのICS、エネルギー、政府、メディア
- 世界各国のICS/SCADA企業
- 世界各国のエネルギー企業
Kaspersky Labはすでに、BlackEnergy関連のDDoS攻撃に加え、同グループの破壊的なペイロード、Siemens機器の悪用、ルーター攻撃プラグインについての調査結果も公表しています。
カスペルスキー製品は、BlackEnergyが使用するトロイの木馬を次の検知名で検知・ブロックします。
Backdoor.Win32.Fonten.*
HEUR:Trojan-Downloader.Script.Generic
BlackEnergyマルウェアについて詳しくは、Securelist.comをご覧ください。
※1 Global Research and Analysis Team(グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
