Darkhotelが拡散中:Hacking Teamから漏れたゼロデイを利用

2015年8月19日

Kaspersky Labのエキスパートは、サイバー犯罪者集団Darkhotel(ダークホテル)による新たな攻撃を調査しました。Hacking Teamから流出したAdobe Flashのゼロデイエクスプロイトが攻撃に利用され、被害地域も拡大しています。2014年秋にDarkhotelが初めて確認されたとき、珍しい拡散手法に注目が集まったことをご記憶の方もあると思います。この犯罪者集団はここ数年、ピアツーピア経由などの拡散手法を用いるほか、世界各地を飛び回る標的(企業幹部)を追跡、攻撃するためにホテルのネットワークを利用していました。

picture_1

2015年も、こうした手口の多く(ホテルのWi-Fiに侵入して標的のシステムにバックドアをしかける、など)が活動に使われています。しかし、これまでとは別の地域で標的が見つかったほか、悪意ある.htaの新種、Right-to-Left Override(RTLO)を使って拡張子を偽装した.rarスピアフィッシング添付ファイル、Hacking Teamのゼロデイ脆弱性の悪用も確認されました。詳しくはこちらをご覧ください。

地位の高い人でなくても標的に。境界の外側も保護が必要

ホテルのネットワークに感染するDarkhotelの標的型攻撃モジュールを分析すると、機密情報を大量に保有する政府組織や大企業だけが標的ではないことがわかります。比較的小さな企業(この場合はホテル)が標的への足がかりになることもあれば、小規模企業自体が標的になることもあります。第三者組織経由で企業幹部や機密を狙う手段として使われるのは、ホテルだけではありません。したがって、中堅中小企業といえども標的型攻撃のリスクに注意する必要があります

中にはITセキュリティ戦略におけるエンドポイント保護の価値を過小評価する企業もありますが、Darkhotelの被害を受けた企業は、エンドポイントセキュリティの重要性を痛感したことでしょう。持ち運び可能なモバイルデバイスは、境界内で使用されるとは限りません。企業環境の外側で、得体の知れない無線ネットワークや有線ネットワークを介して接続されるエンドポイントを適切に保護する必要があります。

Darkhotelの拡散方法

Darkhotelは北朝鮮、韓国、ロシア、日本、タイ、ドイツなどに広がっており、スピアフィッシングやドライブバイ感染で攻撃を開始し、Adobe Flashのゼロデイ脆弱性を悪用します。

一部の標的は、似たようなソーシャルエンジニアリングの手法によって繰り返しスピアフィッシング攻撃を受けています。ドロッパー(RTLOを使って拡張子を偽装した.scr実行可能ファイル)を.rarファイル内にアーカイブし、無害な.jpgファイルに見せかけるというもので、Darkhotelの常套手段です。

RTLO-example2

流出したAdobe Flashのゼロデイ脆弱性を使って特定の標的システムを狙うだけでなく、もう少し攻撃の間口を広げ、悪意あるWebサイト(たとえば「tisone360.com」)などを使った攻撃も見られます。「tisone360.com」は、Hacking Teamから流出したゼロデイ脆弱性を利用するほか、別のFlash エクスプロイト(CVE-2014-0497)も拡散していたと見られます。詳しい情報については、こちらをご覧ください。

Darkhotelの攻撃手法とKaspersky Labの対応状況

標的型攻撃を緩和する対策については、こちらをご参照ください。ここで提言されているリスク低減のための方策を、できるだけ多く実施されることをお勧めします。カスペルスキー製品には、これら方策に対応した機能が数多く搭載されています。カスペルスキー製品では、新たに発見されたDarkhotelの攻撃を以下のように検知します。

ダウンローダーおよび情報窃取用プログラム:

  • Win32.Darkhotel.*

スピアフィッシングの添付ファイル:

  • Trojan-Dropper.Win32.Dapato.*
  • Trojan-Downloader.Win32.Agent.*

.htaファイル:

  • HEUR:Trojan.Script.Iframer