2017年3月10日

Kaspersky Lab、データを破壊する新しいマルウェア「StoneDrill」を発見

Kaspersky Labのグローバル調査分析チームは、悪名高いワイパー型マルウェアShamoonと同じく、感染したコンピューター内のデータを破壊する新たなマルウェアをShamoon2.0の調査中に発見しました。StoneDrillは高度な検知回避技術やスパイツールも備えており、中東や欧州の組織を標的にしています。

～悪名高いワイパー型マルウェア「Shamoon」に類似した新たなマルウェアが中東や欧州の組織を標的に～

[本リリースは、2017年3月6日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム（GReAT）^※１は、データを破壊するワイパー型マルウェア「StoneDrill」を新たに発見しました。悪名高い同型の「Shamoon」と同じく、感染したコンピューター内のあらゆるデータを破壊します。高度な検知回避技術やスパイツールも備えているStoneDrillは、中東と欧州でそれぞれ1つの組織が標的として確認されました。中東で使用されたこのマルウェアは、これまで実環境では見つかっていませんでした。

Shamoon （別名「Disttrack」）は、2012年に中東の石油会社のコンピューター約35,000台をダウンさせた壊滅的な攻撃により、世界の石油供給の10%が危機にさらされる恐れと共に、大きな話題となりました。この1回限りの攻撃の後、Shamoonは姿を消していましたが、2016年後半に機能のアップデートや追加が施されたShamoon 2.0として現れ、悪意ある破壊活動を広範囲にわたって展開しました。

Kaspersky LabのエキスパートがShamoon 2.0の攻撃を調査していた際に、同様のスタイルで作成されたマルウェアを偶然発見しました。これはShamoonよりさらに高度な機能を備えており、エキスパートはStoneDrillと名付けました。

■ StoneDrill – つながりを持つワイパー

StoneDrillの拡散方法はまだ判明していませんが、標的のコンピューターに侵入すると、ユーザーがよく使うブラウザーのメモリプロセスに自分自身をインジェクトします。このプロセスでセキュリティ製品を欺くために、2つの高度なエミュレーターへの対抗技術を使用します。その後コンピューターのディスクを破壊し始めます。

これまでに、中東と欧州の少なくとも2つの組織がStoneDrillの標的になっていることが確認されています。Kaspersky LabのエキスパートはStoneDrillのバックドアも発見しました。同じコード作成者によって開発され、スパイ目的に利用されているものとみています。エキスパートは4つの指令サーバー上のコントロールパネルも発見しており、攻撃者はこれらのパネルとStoneDrillバックドアを使用して、標的に対しスパイ活動を実行していましたが、標的の正確な数はまだ判明していません。

StoneDrillに関して最も興味深いのは、これまでに確認された他の複数のワイパー型マルウェアやスパイ活動とつながりがあると思われる点です。Shamoonの未知のサンプルを特定するために作成したYARAルール^※2 を使ってStoneDrillを発見したとき、エキスパートは自分たちが調べているものがShamoonとは別に作成されたとみられる珍しいマルウェアコードだということに気づきました。ShamoonとStoneDrillという2つのファミリーは、コードベースがまったくの同一ではありませんが、作成者の考え方とプログラミングのスタイルには類似点が見られるため、Shamoon向けに開発したYARAルールによってStoneDrillを発見することができました。

StoneDrillはShamoonだけではなく、さらに古い「NewsBeef APT」で発見されたマルウェアのコードの一部を使用していることも確認されました。NewsBeef APTは「Charming Kitten」の別名でも知られており、過去5年間にわたって悪意ある活動を展開してきました。

Kaspersky Labのグローバル調査分析チームのシニアセキュリティリサーチャー、モハメド・アミン・ハスビニ（Mohamad Amin Hasbini）は次のように述べています。「StoneDrill、Shamoon、NewsBeef、これら3つの悪意ある活動の共通点や類似点に大きな関心を持っています。StoneDrillもShamoonグループが開発したワイパー型マルウェアだったのか、あるいはつながりのない別のグループで、同じ時期に偶然中東の組織を狙っただけなのか、それとも、別グループでも目的は同じなのか。おそらく、最も可能性が高いのは最後の説でしょう。Shamoonの中にアラビア語（イエメン）が発見されたのに対し、StoneDrillからはペルシャ語が発見されました。おそらく地政学の専門家であれば、イランとイエメンの両方がイランとサウジアラビアの代理戦争における交戦国であるとすぐに指摘することでしょう。また、これらの活動の標的のほとんどは、サウジアラビアで見つかっています。しかしもちろん、こうした活動が偽旗作戦である可能性も残っています」

詳しくはSecurelistブログ「From Shamoon to StoneDrill」（英語）をご覧ください。

カスペルスキー製品は、Shamoon、StoneDrill、NewsBeefに関連するマルウェアを検知・ブロックします。

※1 Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky Labの研究開発部門の中核として、脅威に関する情報収集、調査研究お　よびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

※2 YARAは、悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツールです。YARAルールを利用することで、関連するマルウェアサンプルの発見、グループ化や分類によって繋がりを導き出すことができます。マルウェアファミリーの確立、ほかの方法では気づけない可能性のある攻撃グループを発見できます。