2019年4月18日

80ものモジュールと独自機能を備えたスパイ活動フレームワーク「TajMahal」を発見 ~ 既知のいかなるサイバー犯罪組織との関連性も見られず ~

少なくとも2013年から利用されている「TajMahal」は、プリントキューからの情報傍受や、過去に接続したUSBデバイスの特定ファイルを、同じUSBが再接続された際に窃取するなど、これまでのAPT攻撃では確認されたことのない機能を含んでいます。中央アジアの在外大使館が唯一の標的でしたが、ほかの組織も標的になりうる可能性があります。

[本リリースは、2019年4月10日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labの調査チームは、高度な機能を持つサイバースパイ活動のフレームワークを発見しました。このフレームワークは、少なくとも2013年から利用されており、既知のいかなるサイバー犯罪組織との関連性も見られません。調査チームが「TajMahal (タージマハル)」と名付けたこのフレームワークは、約80の悪意あるモジュールを備えています。プリントキューから情報を傍受する機能や、過去に接続されたUSBデバイスのファイルを、同じUSBが再接続された際に窃取する機能など、これまでのAPT攻撃では確認されたことのない機能を含んでいます。調査チームは、現時点で唯一、中央アジアの在外大使館が標的になったことを確認していますが、ほかの組織も標的になりうる可能性があります。

Kaspersky Labの調査チームが2018年に発見したTajMahalは、広範囲にわたるサイバースパイ活動向けに設計された、高機能なAPTのフレームワークです。マルウェアサンプルの解析結果から、このフレームワークは少なくとも過去5年間、開発を継続しながら使用されていたことが判明しています。最古のサンプルの日付は2013年4月で、最新のサンプルの日付は2018年8月でした。調査チームは、窃取したデータを取り出すために使用しているファイル名を引用し、このフレームワークを「TajMahal」と名付けました。

TajMahalのフレームワークには、「Tokyo」「Yokohama」と名付けられた、2つの主要パッケージが含まれています。2つのパッケージのうち、Tokyoの方が小さく、3つのモジュールを含んでいます。Tokyoのメイン機能はバックドアで、指令サーバーに定期的に接続します。PowerShellを使用しており、不正侵入が第2段階に移行した後もネットワーク内にとどまります。

不正侵入の第2段階では、完全な機能を備えたスパイ活動のフレームワークであるYokohamaが使用されます。Yokohamaには、多くのプラグイン、オープンソースとサードパーティ固有のライブラリやファイル構成関連などのモジュールを内包した仮想ファイルシステム(VFS)が含まれています。ローダー、オーケストレーター、指令サーバーとのコミュニケーター、音声レコーダー、キーロガー、画面およびWebカメラ画像やドキュメントおよび暗号キーの窃取など、全部で約80のモジュールがあります。

また、TajMahalは、ブラウザーのCookie取得や、Appleのモバイルデバイスのバックアップリスト収集、標的ユーザーが作成したCDイメージやプリントキューのドキュメントを窃取することもできます。過去に接続したUSBデバイスから特定のファイルを窃取するリクエストを出し、同じUSBが再度接続された際にそのファイルを盗みます。

Kaspersky Labによって発見された標的のシステムは、TokyoとYokohamaの両方に感染していました。このことから、第1段階の感染でTokyoが使用され、関心を持った標的に対して第2段階の感染に完全な機能を備えたYokohamaが使用されたとみられます。バックアップの目的で、Tokyoはそのまま残されていたと考えられます。

これまでのところ、唯一の標的は中央アジアの在外大使館であり、2014年までに感染していたことが確認されています。現時点では、TajMahalの配信や感染の経路は分かっていません。

Kaspersky Labのチーフマルウェアアナリスト、アレクシー・シュルミン(Alexey Shulmin)は次のように述べています。「TajMahalのフレームワークは非常に興味深く、関心を引く発見です。間違いなく高機能であり、いままで高度なサイバー犯罪集団での利用が確認されていない機能を備えています。ただ、数多くの疑問が残っています。たとえば、たった1つの標的のために膨大な投資を行ったとは考えにくいことから、可能性としては、まだ確認されていない標的が存在する、または、このマルウェアのさらなるバージョンが出回っている、もしくはその両方が考えられます。この脅威の配信や感染の経路は未だに不明です。5年以上も検知されなかったのは、比較的活動が少なかったからなのか、別の理由からなのかも、興味深い疑問です。既知のサイバー犯罪グループとの関連性やそのようなグループに帰属する手がかりも見つかっていません」

カスペルスキー製品は、この悪意あるフレームワークを以下の検知名で検知およびブロックします。
HEUR:Trojan.Multi.Chaperone.gen

■ 既知および未知のサイバー犯罪組織による高度な標的型攻撃から企業や組織を守るために、次のことを推奨します。
・社内のセキュリティチームが、最新のサイバー脅威インテリジェンスに確実にアクセスできるようにする。
・社内で使用しているすべてのソフトウェアを定期的にアップデートする。特に新しいセキュリティパッチがリリースされたときは必ずアップデートする。脆弱性評価機能とパッチ管理機能を備えたセキュリティ製品を使用することで、これらのプロセスの自動化が可能となる。
・エクスプロイトを含む、既知および未知の脅威から効果的に保護する、ふるまいベースの検知機能を備えた立証済みのセキュリティソリューションを選択する。
・多くの標的型攻撃は、フィッシングやそのほかのソーシャルエンジニアリングがきっかけとなるため、従業員がサイバーセキュリティの基本的な予防策を理解していることを確認する。

TajMahal APTのフレームワークについて詳しくは、Securelistブログ「Project TajMahal – a sophisticated new APT framework」(英語)をご覧ください。