APT:Gaza CybergangとSneakyPastes作戦

主に中東と中央アジアの国々で作戦活動を繰り広げる、サイバースパイ活動専門のサイバー犯罪集団。

Kaspersky Security Analyst Summit(SAS)では、Kaspersky LabからAPT攻撃に関する新しい発表を行うのが伝統となっています。SlingshotCarbanakCaretoに関する情報を初めて公開したのも、SASでのことでした。標的型攻撃は、依然としてとどまるところを知りません。シンガポールで開催されたSAS 2019では、APTグループ「Gaza Cybergang」について講演を行いました。

豊富な武器

Gaza Cybergangは、サイバースパイ活動を専門に、主に中東と中央アジアの国々で作戦を展開しています。彼らが標的とするのは、政治家、外交官、ジャーナリスト、活動家、その地域で政治的な活動をしている市民です。

2018年1月〜2019年1月の当社統計によると、攻撃を受けた回数が最も多かったのは、パレスチナ自治区内に存在する標的でした。ヨルダン、イスラエル、レバノンでも相当数の感染試みが行われています。攻撃では、複雑さの程度の異なる複数の手段やツールが使用されていました。

Kaspersky Labのエキスパートは、このサイバー犯罪集団の中に3つのグループがあることを突き止めました。このうち2つについては、過去に取り上げています。1つはDesert Falcons作戦を実施したグループ、もう1つは標的ごとにカスタマイズした攻撃を繰り広げたOperation Parliament(英語記事)として知られるグループです。

今回取り上げるのは、当社が「MoleRATs」と呼ぶグループです。このグループが展開する活動は、同グループがpastebin.comをよく使用することから「SneakyPastes」と名付けられました。彼らの武器は比較的シンプルなツールですが、だからといってSneakyPastesの危険性が低いわけではありません。

SneakyPastes

この作戦は複数の段階に分かれています。まずは、使い捨てのアドレスとドメインを使ったフィッシングメールから始まります。メールには、マルウェアへのリンクが記載されている場合や、感染したファイルが添付されている場合があります。受け取った人が添付ファイルを実行(またはリンクをクリック)すると、連鎖的に感染を引き起こすようにプログラムされた第1段階のマルウェアを受け取ることになります。

メールの内容は、政治的交渉の記録または信用ある団体からのメッセージと、ほとんどが政治関連です。

コンピューター内部に入り込んだ第1段階のマルウェアは、居場所を確保し、自身の存在がウイルス対策製品に見つからないようにし、指令サーバーを隠します。

攻撃者は、一般に公開されているサービス(pastebin.com、github.com、mailimg.com、upload.cat、dev-point.com、pomf.cat)を利用して、攻撃の後段階(マルウェア配布を含め)を実施し、指令サーバーとの通信を行います。複数の方法を同時に使い、抽出した情報を配信するのが一般的な流れです。

最後に、RATマルウェアがデバイスに感染します。このマルウェアは、ファイルのダウンロードまたはアップロード、アプリケーションの起動、文書の検索、情報の暗号化などの強力な機能を持っています。

このマルウェアは感染先のコンピューターをスキャンしてPDF、DOC、DOCX、XLSX形式のファイルの場所をすべて突き止め、これらを一時的にフォルダーに保存し、分類し、アーカイブした上で暗号化し、最終的には複数のドメインを経由して指令サーバーに送ります。

当社では実際に、このタイプの攻撃に使用されたツールを複数検知しています。これらツールの詳細と技術的な説明については、Securelistの記事(英語)をご覧ください。

総合的な脅威には総合的な保護対策を

当社の製品は、SneakyPastes作戦で使用されるコンポーネントに対抗できるように作られています。被害を回避するには、以下の対策をお勧めします。

  • 危険なメール(不特定多数に宛てられたものと、特定の個人宛てのもの)の見分け方を、従業員に教える。Gaza Cybergangの攻撃は、フィッシングメールから始まります。フィッシングメールについてはKaspersky Dailyでもたびたび取り上げていますので、参考としてご利用ください。
  • 複雑で多段階にわたる攻撃に対抗することのできる、統合的なソリューションを導入する。ネットワークレベルで攻撃に対抗するには、Kaspersky Anti Targeted AttackKaspersky Endpoint Detection and Responseを組み合わせての使用をお勧めします。
  • 当社の脅威インテリジェンスサービスをご契約の場合、最新のサイバー脅威に関する詳細なレポートをご覧いただくことができます。本サービスについては、jp-sales@kaspersky.comまでお問い合わせください。
ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?

新着記事をメールでお知らせします