マルウェア「Crouching Yeti（Energetic Bear）」

ウイルス定義

脅威カテゴリ：標的型サイバー攻撃（APT）

「Crouching Yeti」とは

「Crouching Yeti」は、少なくとも2010年末から展開されてきた複数の「標的型サイバー攻撃（APT）」に関係する脅威です。

この脅威の最重要ターゲットとされた組織は次のとおりです。

• 産業/機械
• 製造
• 製薬
• 建設
• 教育関連
• IT関連

詳細に調査すると、産業/機械製造業での被害が最も多く確認され、これらの業界が重点的に狙われていたことを示しています。

「Crouching Yeti」の脅威では、三つの手口を利用して感染させます。

l        Adobe Flashのぜい弱性（CVE-2011-0611）を悪用したエクスプロイトを埋め込んだPDFファイルを利用したスピアフィッシングメール

• トロイの木馬されたソフトウェアインストーラ
• 既存のさまざまなエクスプロイトを利用した水飲み場型攻撃

「Crouching Yeti」の仕組み

「Crouching Yeti」による攻撃は高度なものではありません。たとえば、サイバー犯罪者はゼロデイぜい弱性を悪用するエクスプロイトは一切使用せず、インターネット上で簡単に入手できるエクスプロイトのみを利用しています。だからこそこの一連の攻撃は数年間にわたり検出を免れました。

確認された被害総数は世界で2,800件を超え、うちカスペルスキーでは101の組織を特定しました。この被害を受けた業界のリストがCrouching Yetiの戦略上の方針を示しているようにも見えますが、攻撃の意図が不確かな他の業界も多くリストに含まれています。

カスペルスキーは、このような業界が受けた被害は二次的なものであると考えています。裏を返せば、「Crouching Yeti」は特定の分野に対する持続的標的型攻撃にとどまらず、さまざまな分野を対象にした大掛かりな調査目的の攻撃であったとも解釈できそうです。

「Crouching Yeti」への感染を確認するには

「Crouching Yeti」による攻撃を受けていないかを確認するには、侵入の痕跡がないかを調査することが最も良い方法です。カスペルスキー セキュリティなどの強力なセキュリティ対策製品で、脅威を特定できます。

カスペルスキーの製品は、「Crouching Yeti」による一連の攻撃に関連するマルウェアを次のように検知します。

• Trojan.Win32.Sysmain.xxx
• Trojan.Win32.Havex.xxx
• Trojan.Win32.ddex.xxx
• Backdoor.MSIL.ClientX.xxx
• Trojan.Win32.Karagany.xxx
• Trojan-Spy.Win32.HavexOPC.xxx
• Trojan-Spy.Win32.HavexNk2.xxx
• Trojan-Dropper.Win32.HavexDrop.xxx
• Trojan-Spy.Win32.HavexNetscan.xxx
• Trojan-Spy.Win32.HavexSysinfo.xxx

「Crouching Yeti」から自身を守る方法

• お使いのすべてのソフトウェアを最新版に更新してください。「Crouching Yeti」は、ゼロデイぜい弱性を悪用するエクスプロイトは一切使いません。サードパーティのソフトウェアを最新版にすることで、感染の大部分が防げたと考えられます
• マルウェアへの感染を防ぐため、セキュリティ対策製品をインストールして最新の状態を保ちます
• 特にスピアフィッシングメールに関しては、セキュリティ対策についての教育が重要な役割を担います