メインコンテンツにスキップする

[本リリースは、2018年4月23日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Lab ICS CERTのリサーチャーは、「Crouching Yeti(クラウチングイェティ)」(別名Energetic Bear)として知られるAPTグループが使用していたインフラストラクチャを発見しました。調査の結果、さまざまな国のサーバーが2016年からセキュリティ侵害を受けており、ほかのリソースへのアクセスの足掛かりや、ホスティングWebサイトでは水飲み場型攻撃で利用されていたことなどが明らかになりました。

Crouching Yetiは、Kaspersky Labが2010年から追跡を継続しているロシア語話者の関与が疑われるAPTグループです。世界中の産業分野を標的とし、特にエネルギー関連施設を重点的に狙っています。主な目的は、標的のシステムから機密情報を窃取することです。同グループが広く使用してきた攻撃手法の1つが水飲み場型攻撃です。

Kaspersky Lab ICS CERTのリサーチャーは今回、同グループによってセキュリティ侵害を受けた多くのサーバーをロシア、米国、トルコ、欧州の国々で発見しました。それらのサーバーは産業分野に限らず多種多様な組織が所有するもので、2016年と2017年にさまざまな目的で攻撃を受けており、水飲み場型攻撃以外にもほかのリソースを攻撃するための媒介として使用されるケースもありました。

また、同リサーチャーがセキュリティ侵害を受けたサーバーを解析する過程で、ロシア、米国、欧州、アジアやラテンアメリカの組織が使用する数多くのWebサイトとサーバーを特定しました。同グループはさまざまなツールを使ってこれらのWebサイトやサーバーをスキャンしていましたが、これは攻撃ツールを設置し展開する目的だったと考えられます。また、Webサイトの一部は水飲み場の対象になった可能性があります。同グループは、オンラインストア、サービス、公的機関、NGOや製造業などを含め、多種多様なWebサイトをスキャンしていたことも判明しています。

Crouching Yetiは、サーバーの解析や情報の検索と収集を行うために提供されている一般の悪意あるツールを使用していました。また、改竄によりバックドアが実装されたsshdファイルも見つかっています。このファイルは既存のsshdファイルを置き換えるために使用され、「マスターパスワード」によって権限を付与することが可能なものでした。

Kaspersky Lab ICS CERTの脆弱性研究グループ責任者、ウラジーミル・ダーシェンコ(Vladimir Daschenko)は次のように述べています。「Crouching Yetiは、何年もの間活動している悪名高いロシア語話者のグループです。数ある手法の中でもとりわけ水飲み場型攻撃を通じて、現在も産業分野の組織を標的とし続けています。当社の調査では、このグループが水飲み場型攻撃以外にも、さらなる攻撃のためにサーバーを侵害していたことがわかっています。また、オープンソースのツールを使用していたために、特定することが非常に困難でした。初期データの収集、認証データの窃取、そしてリソースの調査といった活動は、さらなる攻撃を仕掛けるために使用されています。侵害を受けたサーバーとスキャンされたリソースの多様性は、このグループが第三者のために活動している可能性を示しています」

こうしたAPTに対抗するため、Kaspersky Labは標的型攻撃の検知とインシデント対応専用のセキュリティソリューションとともに、エキスパートサービスと脅威インテリジェンスで構成される、高度な攻撃に対抗できる包括的なフレームワークの導入を推奨しています。Kaspersky Threat Management and Defenseの一環として、Kaspersky Anti Targeted Attack Platformが不審なネットワーク活動を分析し、早期段階で攻撃を検知すると同時に、Kaspersky EDRによってエンドポイントの可視性、調査機能、対応の自動化を向上させることが可能です。これらのソリューションは、グローバルな脅威インテリジェンスと、脅威ハンティングおよびインシデント対応に特化した当社のエキスパートサービスによって強化されます。

■ Crouching Yetiの調査詳細は、Securelistブログ「Energetic Bear/Crouching Yeti: attacks on servers」(英語)をご覧ください。

Kaspersky Lab、産業分野の企業への攻撃で知られる「Crouching Yeti」のインフラストラクチャを特定

Kaspersky Lab ICS CERTのリサーチャーは、「Crouching Yeti」APTグループが使用していたインフラストラクチャを発見しました。調査の結果、さまざまな国のサーバーが2016年からセキュリティ侵害を受けており、ほかのリソースへのアクセスの足掛かりや、ホスティングWebサイトでは水飲み場型攻撃で利用されていたことなどが明らかになりました。
Kaspersky Logo