Kaspersky、セキュアなUSBメモリを悪用し、アジア太平洋地域のある政府機関を標的とした高度なAPT攻撃活動を発見
「TetrisPhantom」と名付けた非常に標的を絞ったこのスパイ行為は、ハードウェアの暗号化で保護されたUSBメモリを悪用し、APAC地域の政府機関から機密データを窃取していました。少なくとも2017年から6年にわたる攻撃活動は現在も続いています。
本リリースは、2023年10月17日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、ある特定の種類のセキュアなUSBメモリを悪用した、長期にわたり継続しているAPT(持続的標的型)攻撃活動を発見しました。「TetrisPhantom(テトリスファントム)」と名付けたこのスパイ行為は、少なくとも2017年から6年にわたり続いていますが、既知の攻撃者との関連性をうかがわせるものはありません。調査では、アジア太平洋(APAC)地域のある政府機関を狙った非常に標的を絞った攻撃活動であることが判明しています。この攻撃活動は現在も続いているため、GReATのリサーチャーは引き続き状況を注視しています。
2023年5月、GReATのリサーチャーは、ある特定の種類のセキュアなUSBメモリを悪用した長期的なスパイ活動を発見しました。この攻撃活動は、ハードウェアの暗号化で保護されたUSBメモリを悪用し、APAC地域の政府機関から機密データを窃取していました。今回調査した攻撃活動は対象をかなり絞っていますが、ハードウェアの暗号化で保護される種類のUSBメモリは一般的に広く使用されているため、同じ手法による攻撃に遭遇している政府機関はほかにも存在する可能性があります。TetrisPhantomに関連する攻撃活動は、少なくとも6年前から行われていました。
攻撃者が悪用したUSBメモリには暗号化で保護されたパーティションが存在しており、暗号化されていない部分にバンドルされたカスタムソフトウェアと、ユーザーのみが知っているパスフレーズによってアクセスすることができます。攻撃者はそのカスタムソフトウェアをトロイの木馬化し、複数の悪意のあるモジュールを使用して侵入先のマシンを広範囲にわたって制御することが可能になっていました。
攻撃者は各種コマンドを実行して不正にアクセスしたマシンからファイルや情報を収集し、同じ、または別のセキュアなUSBメモリを介して別のマシンに移動させることができます。さらにこの攻撃活動では、侵入先のシステムでほかの悪意のあるファイルを実行し、情報を収集し窃取することも可能です。
現時点で既知の攻撃者との関連性は見られていませんが、この攻撃活動は現在も続いているため、リサーチャーは引き続き状況を注視しています。また、今後、さらに高度な攻撃活動が発生する可能性があると予測しています。
Kaspersky GReATのシニアセキュリティリサーチャー ノーシン・シャバブ(Noushin Shabab)は、次のように述べています。「この攻撃活動は、仮想化ベースのソフトウェアの難読化、SCSIコマンドを直接使用したUSBメモリとの低レベル通信、セキュアなUSBメモリの接続による自己複製など、非常に高度な手口であることが明らかになりました。攻撃者は高度なスキルとリソースを持ち、機密性が高く保護された政府組織ネットワーク内でのスパイ行為に強い関心を持っています」
■ TetrisPhantomの詳細は、GReATの定期的なAPTレポートに含まれています。そのほかのAPTについてもSecurelistブログ(英語)「APT trends report Q3 2023」でご覧いただけます。
■ 既知または未知の攻撃者による標的型攻撃から企業を守るために、以下の対策を講じることをお勧めします。
・オペレーティングシステム、アプリケーション、アンチウイルスソフトウェアを定期的に更新し、既知の脆弱(ぜいじゃく)性にパッチを適用してください。
・機密情報について尋ねてくるメールやメッセージ、電話に注意してください。個人情報を教えたり、疑わしいリンクをクリックする前に、送信者の身元を確認してください。
・SOCチームが最新の脅威インテリジェンスにアクセスできるようにしてください。Kaspersky Threat
Intelligence Portalは、当社の脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供しています。
・GReATのエキスパートが担当したKasperskyオンライントレーニングを活用して、サイバーセキュリティチームのスキルアップを図り、最新の標的型攻撃に対抗できるようにしてください。
・インシデントをエンドポイントレベルで検知、調査し、迅速に修復するために、Kaspersky
Endpoint Detection and ResponseなどのEDRソリューションを実装してください。
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
Kaspersky、セキュアなUSBメモリを悪用し、アジア太平洋地域のある政府機関を標的とした高度なAPT攻撃活動を発見
Kaspersky
関連記事 ウイルスニュース
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
過去3年の間にサイバー犯罪者が最も多く使用した情報窃取型マルウェアは「Redline」となっており、新種の情報窃取型マルウェア「Lumma」「Stealc stealer」も増加しています。詳しくはこちら >Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >