2014年8月15日

大規模なサイバースパイ活動「Epic Turla」が、中東とヨーロッパ 45 か国を標的に

Kaspersky Lab の最新の調査によって、Turla のマルチステージ感染の第 1 フェーズで「Epic」が作動していることがわかりました。

[本リリースは、2014 年8月7日にKaspersky Labより発表されたプレスリリースの抄訳です]

- Turla のマルチステージ感染の第 1 フェーズで「Epic」が作動 -

Turla は、Snake または Uroburos などの別名を持つ、現在活動中の非常に高度なサイバースパイ活動です。Turla に関する最初の調査報告書が発表された時、感染のメカニズムはわかっていませんでしたが、Kaspersky Lab の最新の調査によって、感染の最初の段階で「Epic Turla(以下 Epic)」が活動していることがわかりました。
Epicは、少なくとも 2012 年から使用されており、最も活発化したのは 2014 年の 1 月から 2 月です。最近になってKaspersky Lab は、同社のユーザーが 8 月 5 日に攻撃を受けていたことを検知しました。政府組織(内務省、通産省、外務省、諜報機関)、大使館、軍、研究・教育機関、製薬会社などが Epic の標的となりました。
被害者の多くは中東とヨーロッパに集中していますが、アメリカを含むほかの地域でも被害が確認されています。Kaspersky Lab では、最多の被害を記録したフランスを含む 45 ヵ国以上に分散した、数百もの被害者の IP アドレスを確認しています。

Turla の全体概要

  • 初期段階の感染メカニズム:Epic Turla、Tavdig
  • アップグレードと通信用プラグインを仲介 :Cobra / Carbon システム、Pfinet など
  • ルートキットと仮想ファイルシステムを含む高度なマルウェアプラットフォーム:Snake / Uroburos

攻撃手法

Kaspersky Lab の研究者たちは、Epic の攻撃者がゼロデイエクスプロイト、ソーシャルエンジニアリング、および水飲み場型攻撃の手法を用いていたことを発見しました。
この攻撃では少なくとも 2 つのゼロデイエクスプロイトが使われました。1 つは Windows XP と Windows Server 2003 の権限昇格のぜい弱性(CVE-2013-5065)を突くものです。これにより、Epic のバックドアはシステム上で管理者権限を得ます。もう 1 つは Adobe Reader のぜい弱性(CVE-2013-3346)を悪用した添付メールに使用されました。
ぜい弱なシステム上で、ユーザーが悪意を持って作り込まれた PDF ファイルを開くと、そのマシンは自動的に感染し、攻撃者は直ちに目的のシステムへのフルコントロールを獲得します。
感染には、スピアフィッシングメールと水飲み場型攻撃の両方が用いられています。この活動で検知された攻撃は、被害者への侵入に使われる初期感染手法によっていくつかに分類できます。

  • スピアフィッシングメールを使用した、Adobe PDF エクスプロイト(CVE-2013-3346 と CVE-2013-5065)
  • ソーシャルエンジニアリングを使用した、ユーザー自身によるマルウェアインストーラ(拡張子 .SCR、RAR 形式の場合有り)の実行
  • 水飲み場型攻撃を使った Java エクスプロイト(CVE-2012-1723)、Adobe Flash エクスプロイト(詳細不明)、または Internet Explorer 6/7/8 エクスプロイト(詳細不明)
  • ソーシャルエンジニアリングと水飲み場型攻撃を併用した、ユーザー自身による偽のFlash Player 型マルウェアインストーラの実行

水飲み場型攻撃とは、標的とするユーザーが日常的に閲覧する正規 Web サイトに攻撃者が事前に侵入し、悪性コードを埋め込んで悪用する攻撃です。Web サイトにアクセスする閲覧者のデバイスの IP アドレスに応じて、Java エクスプロイトやブラウザエクスプロイト、偽の署名付き Adobe Flash Player、あるいは偽の Microsoft Security Essentials などを仕込みます。Kaspersky Labではこのような埋め込みがなされた Web サイトを 100 以上確認しています。Web サイトの選択は、攻撃者の目的を反映しています。たとえば、マルウェア感染したスペイン語の Web サイトの多くは地方自治体のものでした。
ユーザーが感染すると、「WorldCupSec」、「TadjMakhal」、「Wipbot」、「Tadvig」という名前でも知られているEpic のバックドアが直ちに C&C サーバーに接続し、被害者のシステム情報を送信します。

被害者のシステムが感染すると、攻撃者は被害者のシステムから受信したサマリ情報に基づいて、一連のコマンドを含むバッチファイルを被害者に送りつけます。さらに、カスタマイズしたラテラルムーブメントツール(諜報活動などの攻撃で使用されるツール)をアップロードします。これには、特定のキーロガーツール、RAR アーカイバ、および Microsoft の DNS クエリツールのような一般的なユーティリティも含まれます。

Turla の第 1 ステージ:

Kaspersky Lab の研究者たちは、攻撃者が Epic マルウェアを使用して「Cobra / Carbon システム」(一部のアンチウイルス製品では「Pfinet」として定義)として知られる高度なバックドアを仕掛けていることを発見しました。その後、攻撃はさらに高度化し、さまざまな C&C サーバーのセットを経由して Epic モジュールを埋め込み、「Carbon」のコンフィギュレーションファイルを更新していました。
Kaspersky Lab のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)※1のディレクター、コスティン・ライウ(Costin Raiu)は次のように説明しています。「“Carbon システム”マルウェアのコンフィギュレーションの更新には非常に興味を引かれます。なぜなら、これは Turla の黒幕による別のプロジェクトだからです。つまり、Epic Turla はマルチステージのマルウェア感染であり、Epic Turla が攻撃の足掛かりを築き、標的を値踏みするために使われていることを示しています。攻撃者(黒幕)がその標的に興味を持てば、フル機能版の Turla Carbon システムにアップグレードするのです」

使用されている言語:

Turla を操る攻撃者たちが英語を母国語とする者ではないことは明らかです。次のようなスペルミスや文法の誤りが多く見られます。
[ Password it’s wrong! ]、[ File is not exists ]、[ File is exists for edit ]
攻撃者の拠点を示す別の証拠もあります。バックドアの一部は、ロシア語を使用したシステム上でコンパイルされていました。また、Epic のあるバックドアの内部名が「Zagruzchik.dll」であったことも明らかになっています。これは、ロシア語で「ブートローダ」あるいは「プログラムをロードする」と意味です。
さらに Epic のマザーシップサーバーのコントロール パネルでは、コードページ 1251 がセットされています。これはキリル文字のセットを定義するものです。

別のマルウェア活動とのリンク:

興味深いことに、別のサイバースパイ活動が関係している可能性もあります。Kaspersky Lab の研究者は、Miniduke として知られる 2014 年 2 月の攻撃で使われていた WebShell と同一のものを、感染させた Web サーバーを管理するためにEpic チームも使っていたことを発見しています。
Epic Trula の活動の詳細については、Securelist.com のブログ記事を参照してください。

検知名:

Kaspersky 製品は、この活動で使用されるマルウェアとその亜種を次の検知名で検知、駆除します。

Backdoor.Win32.Turla.xx、Exploit.Java.CVE-2012-1723.xx、Exploit.Java.CVE-2012-4681.xx、Rootkit.Win32.Turla.d、Trojan-Dropper.Win32.Injector.xxxx、Trojan-Dropper.Win32.Turla.x、Trojan.Win32.Agent.xxxx、Trojan.Win32.Nus.x など


※1 Global Research and Analysis Team(GReAT:グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。