2015年8月11日

進化するAPT: サイバー攻撃グループ「Darkhotel」が、Hacking Team社から漏洩したゼロデイエクスプロイトで攻撃を強化

高級ホテルのネットワークに侵入し、VIP宿泊者の機密情報を搾取していた同グループは、その後の調査から、Hacking Team社が不正侵入を受けて漏洩したゼロデイ脆弱性を悪用したエクスプロイトを用い、現在も攻撃を継続していることがわかりました。

2014年11月にKaspersky Labの調査分析チーム(GReAT)※1がその存在を明らかにしたサイバー攻撃グループ「Darkhotel」は、高級ホテルのネットワークに侵入し、VIP宿泊者の機密情報を搾取していました。その後の調査から、当グループはAdobe Flash PlayerやWindows OSのゼロデイ脆弱性を悪用したエクスプロイトを用い、攻撃を強化していたことが分かりました。これらの脆弱性は、合法スパイウェアを政府組織や警察機関に販売していたとされるHacking Team社が不正侵入を受けて漏洩したもので、多方面で本脆弱性を突いた攻撃が確認されています。

弊社では、これまでの数年間にDarkhotelグループが悪用したAdobe Flash Playerのゼロデイ脆弱性は5~6件以上と推測しており、攻撃ツールの拡充に莫大な資金が投じられていると見ています。現在、同グループは攻撃対象を世界各国に拡大すると同時に、北朝鮮、韓国、ロシア、日本、バングラデシュ、タイ、インド、モザンビーク、ドイツの標的に対するスピア型フィッシング攻撃も継続しています。

Hacking Team社から漏洩したゼロデイエクスプロイトの利用

GReATのセキュリティリサーチャーは、8年近く活動を続けるDarkhotelグループを注視してきました。2014年以前の攻撃では、窃取したコードサイニング証明書を不正利用し、高級ホテルのネットワークに侵入、標的システムにスパイツールをインストールするといった珍しい手法を用いていました。現在でも多くの攻撃にこの手法が用いられ、窃取した証明書の継続的な利用や執拗なソーシャルエンジニアリングによるなりすましに加え、新たにHacking Team社から流出したゼロデイ脆弱性を悪用した攻撃が確認されました。

  • 窃取した証明書の利用: 同グループは、盗んだ証明書を大量に保有し、ダウンローダーやバックドアにそれらの証明書を利用して署名することで、標的システムの目を欺いているものと見られます。最近無効となった証明書にXuchang Hongguang Technology Co. Ltdのものがありますが、同社の証明書は、Darkhotelグループの過去の攻撃で利用されていました。
  • 執拗なスピア型フィッシング: Darkhotelグループは極めて執拗な標的型攻撃(APT)を行います。仕掛けたスピア型フィッシング攻撃が失敗した場合でも、再度、数か月後に同様のソーシャルエンジニアリング手法で標的への感染を試みます。
  • Hacking Team社ゼロデイエクスプロイトの利用: Darkhotelグループによる攻撃で改ざんされたサイトtisone360.comには、一連のバックドアとエクスプロイトが含まれていました。特に興味深いのは、同社から漏洩したとみられるAdobe Flash Playerのゼロデイ脆弱性が利用されていたことです。

Kaspersky Labのプリンシパルセキュリティリサーチャー コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「再び活発化したDarkhotelグループの活動では、Hacking Team社から流出した新しいAdobe Flash Playerのエクスプロイトが、改ざんしたサイトにホストされていました。以前は、別のFlashエクスプロイトを同サイトにホストしており、弊社が2014年1月にゼロデイ脆弱性としてAdobe社に報告しています。世界各国の要職にある人物を正確に攻撃するため、さらに多くのエクスプロイトを蓄積している可能性もあります」

同グループは、セキュリティ製品による検知を回避する技術の強化にも積極的に取り組んでおり、2015年版のダウンローダーでは、アンチウイルスベンダー27社の製品による検知を回避する設計が施されています。

カスペルスキー製品は最新のDarkhotel攻撃に対応しており、検知名は次のとおりです。

Trojan.Win32.Darkhotel 、Trojan-Dropper.Win32.Dapato



※1 Global Research and Analysis Team(グレート)
GReAT はKaspersky Lab の R&D で研究開発に携わる中枢部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。