新たな手口を導入した NetTraveler の再来

本リリースは、2013年 9 月 3 日にロシア モスクワにて発表されたニュースリリースの抄訳です。

本日 Kaspersky Lab のエキスパートチームは、NetTraveler（別名「Travnet」、「Netfile」または「Red Star APT」）の新たな攻撃手法について発表しました。NetTraveler は APT 攻撃に使用されるマルウェアで、すでに 40 か国の重要施設に侵入し数百件もの被害をもたらしています。その攻撃対象は、チベット・ウイグルの活動家、石油産業、科学研究施設、大学、民間企業、政府および政府機関、大使館、軍事関連企業などです。

2013 年 6 月に NetTraveler の活動が公になるとすぐに、攻撃者たちは既知の C&C システムをすべて閉鎖し、中国、香港、台湾の新たなサーバーに移動させました。現在の状況を見ると、その後も妨害されること無く攻撃を続けていたことがわかります。

ここ数日の間に、複数のウイグル人活動家に対し、スピアフィッシングメールが送信されました。このAPT 攻撃において新種のマルウェアの配布に使用された Java エクスプロイトは、2013 年 6 月にパッチが提供されたばかりのぜい弱性を突いたもので、高い攻撃成功率を誇っています。

攻撃者たちは、スピアフィッシングメールの送信に加えて、ネットサーフィンをする人々を感染させるためwatering hole (水飲み場型) 技術（不正なドメインへのリダイレクトとドライブバイダウンロード）を採用しました。

過去1か月にわたり、Kaspersky Labは以前のNetTraveler攻撃につながりのあるサイトとして知られている “wetstock[dot]org”ドメインからの感染の試行を多数ブロックしました。“wetstock[dot]org”ドメインへのリダイレクトは、NetTraveler攻撃により改ざんされ感染してしまった他のウイグル関連のWebサイトから来ているように見えます。

Kaspersky Lab の Global Research and Analysis Team（GReAT）のエキスパートは、このマルウェアに最近発生した別のエクスプロイトが統合され、別の攻撃に利用されるのではないかと予測しています。また、このような攻撃を防ぐために次のことを勧めています。

• Java を最新バージョンに更新する。Java を使用しない場合はアンインストールする。
• Microsoft Windows と Office を最新バージョンに更新する。
• Adobe Reader などその他すべてのサードパーティ製ソフトウェアも更新する。
• Windows に付属する Internet Explorer よりも開発およびパッチ提供サイクルが早いGoogle Chrome などのブラウザを使用する。
• 知らない相手から届いたメール内のリンクをクリックしたり、添付ファイルを開かないよう注意する。

Kaspersky Lab の Global Research & Analysis Team（GReAT） ディレクターのコスティン・ライウ（Costin Raiu）は次のようにコメントしています。「NetTraveler グループによるゼロデイ攻撃は今のところ発見されていません。まだパッチが提供されていないゼロデイ攻撃の場合でも、このような ぜい弱性を突いたAPT 攻撃に対しては「ぜい弱性攻撃ブロック」や「実行アプリケーション制御」といったテクノロジーが非常に有効です。」

NetTraveler の新たな攻撃に関する詳細については、以下をご覧ください（英語のみ）。
https://www.securelist.com/en/blog/208214039/NetTraveler_Is_Back_The_Red_Star_APT_Returns_With_New_Tricks

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については http://www.kaspersky.co.jp/ をご覧ください。