「Epic Turla（スネーク/ウロボロス）」攻撃

ウイルス定義

脅威カテゴリ：標的型サイバー攻撃（APT）

「Epic Turla」とは

「Turla」は、スネークまたはウロボロスとも呼ばれ、現在最も高度なサイバースパイ活動の1つです。この活動に関するカスペルスキーの最新の調査で、「Turla」の感染メカニズムの初期段階が「Epic」であるとわかりました。「Epic」の主な標的は、政府機関（内務省、経済産業省、外務省、諜報機関）、大使館、軍、研究・教育機関、製薬会社などです。被害の大半は中東やヨーロッパでしたが、米国などの他の地域でも被害は見られました。カスペルスキーのエキスパートによると、被害にあったIPアドレスは45か国以上で合計数百にのぼっています。また、被害を受けたWebサイトは100を超えており、フランスが最多となっています。

ターゲットとなるWebサイトは、サイバー犯罪者の目的によって変わります。たとえば、スペインで感染が見つかったWebサイトの多くは地方政府のものでした。

この活動で検出される攻撃は、セキュリティ侵害を受けた際の侵入経路や手口（攻撃ベクトル）の違いにより、以下のようなカテゴリに分けられます。

標的型メールによる攻撃（スピアフィッシング）：Adobe PDFのぜい弱性の悪用（CVE-2013-3346 + CVE-2013-5065）
ソーシャルエンジニアリング：ユーザーを騙して拡張子が「.SCR」のマルウェアインストーラーを実行させる（RARで圧縮されている場合があります）
水飲み場型攻撃：Javaのぜい弱性（CVE-2012-1723）、Adobe Flashのぜい弱性（不明）、Internet Explorer 6、7、8のぜい弱性（不明）の悪用
ソーシャルエンジニアリングを利用した水飲み場攻撃：ユーザーに「Flash Player」に偽装したマルウェアインストーラーを実行させる

脅威の詳細

サイバー犯罪者は、直接的なスピアフィッシングメール、および水飲み場型攻撃の両方を利用して標的を感染させます。「水飲み場」とは、ライオンが獲物を待ち伏せする水飲み場に由来し、ユーザーが普段アクセスするWebサイトのことを指します。水飲み場型攻撃に利用されてしまったWebサイトはサイバー犯罪者によって事前に改ざんされ、ユーザーに不正コードを送りつけるよう細工されています。

サイバー犯罪者はWebサイト訪問者のIPアドレス（政府組織のIPなど）の違いによって攻撃方法を変え、Javaやブラウザーのぜい弱性の悪用、署名付きの偽のAdobe Flash Player、または偽のMicrosoft Security Essentialsを経由して侵入します。

「WorldCupSec」、「TadjMakhal」、「Wipbot」、「Tadvig」とも呼ばれる「Epic」のバックドアはユーザーのコンピューターが感染するとすぐにコマンド&コントロール（C&C）サーバーに接続し、コンピューターのシステム情報を送信します。また、取得したシステム情報に基づいてあらかじめ用意した一連の実行コマンドを含むバッチファイルをユーザーのコンピューターに送りつけます。

さらに、特殊なキーロガーツール、RARアーカイブプログラムのほか、MicrosoftのDNSクエリツールなどの標準的なユーティリティを含むカスタムツール類をユーザーのシステムに送りつけ感染を広げようとします。