リモートアクセスツールのAdwindはバックドアとして販売されており、Windows、OS X、Linux、Androidプラットフォーム上で使用できます。キャッシュされたパスワード、Webフォームに入力されたデータ、VPN証明書の窃取、キー入力の収集、Webカメラとマイクによる撮影と録音、ファイル転送などの機能を持ち、2015年末までに約1,800人が利用したと推測されます。
[本リリースは、2016年2月8日にKaspersky Labが"Kaspersky Security Analyst Summit"で発表したプレスリリースの抄訳です]
Kaspersky Labのグローバル調査分析チーム(GReAT)※1 は、リモートアクセスツール(RAT)である「Adwind」に関する詳細な調査結果を発表しました。Adwindは、「AlienSpy」「Frutas」「Unrecom」「Sockrat」「JSocket」「jRat」などの別名でも知られるクロスプラットフォームの多機能マルウェアであり、サービスとしてのマルウェア(Malware-as-a-Service)プラットフォームを介して配布されます。2013年から2016年にかけて実施した調査によると、Adwindマルウェアのさまざまなバージョンが攻撃に使用されており、全世界で少なくとも44万3,000の個人、企業・団体に被害を与えています。このプラットフォームとマルウェアは現在も活動中です。
2015年末、GReAT のリサーチャーがシンガポールの銀行に対する標的型攻撃を調査する中で、標的となった職員が受け取ったスピア型フィッシングメールに、悪意あるJavaアーカイブファイルが添付されているのを見つけました。そのマルウェアはさまざまな機能を備えており、複数のプラットフォーム上で実行できるほか、どのアンチウイルス製品にも検知されなかったことから、すぐにリサーチャーの目に留まりました。
Adwind RAT
調査の結果、この銀行はAdwind RATによる攻撃を受けていたことが判明しました。Adwind RATはバックドアとして販売されており、すべてJavaで記述されているため、Windows、OS X、Linux、Androidプラットフォーム上で使用できます。スピア型フィッシングメールに添付されたJavaアーカイブファイルを開くとAdwindマルウェアがインストールされ、サイバー犯罪者側の指令サーバーと通信を確立します。
Adwindの機能は次のとおりです。
キャッシュされたパスワード、Webフォームに入力されたデータ、暗号通貨ウォレットキーやVPN証明書の窃取、キー入力の収集、スクリーンショットの撮影、Webカメラとマイクによる撮影と録音、ファイル転送、システムおよびユーザーに関する全般的な情報の収集、SMSの管理(Androidのみ)
標的
GReAT のリサーチャーが、Adwindマルウェアを拡散するスピア型フィッシング攻撃を200近く分析した結果、次の業界が標的になっていることがわかりました。
製造 、金融、工学、設計、小売、政府、輸送、電気通信、ソフトウェア、教育、食品、医療、メディア、エネルギー
また、Kaspersky Security Network(KSN)※2 のデータによると、2015年8月から2016年1月の6か月間に、これらの攻撃によって6万8,000を超えるKSN登録ユーザーがAdwind RATマルウェアに遭遇していました。この期間に攻撃を受けたKSN登録ユーザーの地理的分布は、約半数(49%)がアラブ首長国連邦で、そのほかにもドイツ、インド、米国、イタリア、ロシア、ベトナム、香港、トルコ、台湾の10か国が含まれていました。
確認された標的のプロファイルから、Adwindプラットフォームの利用者はいくつかのカテゴリに分類されます。具体的には、より高度な詐欺を働くためにマルウェアを使おうとしている詐欺師、不当な取引に関与する競合企業、雇われスパイ、知人を監視したいと考える個人、です。
Threat-as-a-Service:サービスとしての脅威
Adwind RATがほかの商用マルウェアと大きく異なるのは、有料サービスとして公然と配布されていることです。GReAT のリサーチャーがこのサービスの内部向けの掲示板やほかの観測対象から利用者の行動を調査した結果、2015年末までに約1,800人が利用したと推測されます。これは、現存するマルウェアプラットフォームの中で最大規模の1つです。
Kaspersky Lab GReATのチーフセキュリティエキスパート、アレクサンダー・ゴスチェフ(Alexander Gostev)は、次のように述べています。「Adwindプラットフォームによって、サイバー犯罪予備軍に必要とされる専門知識は大幅に減少しました。シンガポールの銀行に対する攻撃の調査でわかったことは、犯行グループはプロのハッカーには程遠く、そしてAdwindプラットフォームの『顧客』の多くはコンピューター教育を受けた程度だろうということです」。また、GReAT APACのディレクター、ヴィタリー・カムリュク(Vitaly Kamluk)は、調査の理由を次のように述べています。「ここ数年、Adwindに関するレポートは複数のセキュリティベンダーから公開されていますが、Adwindプラットフォームは現在も運営されており、多様な犯罪者とともに存続しています。今回調査を実施した理由は、セキュリティ業界や法執行機関の関心を引き、このプラットフォームを完全に閉鎖するべく必要な措置に取り組むためです」
Kaspersky Labは、Adwindプラットフォームの調査結果を法的執行機関に報告済みです。個人や企業がAdwindの脅威から身を守る方法として、Javaプラットフォームの使用目的を再考することと、信頼できないソースのJavaをすべて無効化することをお勧めします。
Adwindプラットフォームの詳細は、Securelistブログをご覧ください。
※1 GReATについて
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2 Kaspersky Security Network
クラウドベースのアンチウイルスネットワーク。ネット上の新しい脅威を即時に検知し、感染源を数分でブロックすることでKSN に接続されたすべてのコンピューターを保護します。
