APT:Gaza CybergangとSneakyPastes作戦

2019年4月23日

Kaspersky Security Analyst Summit(SAS)では、Kaspersky LabからAPT攻撃に関する新しい発表を行うのが伝統となっています。SlingshotCarbanakCaretoに関する情報を初めて公開したのも、SASでのことでした。標的型攻撃は、依然としてとどまるところを知りません。シンガポールで開催されたSAS 2019では、APTグループ「Gaza Cybergang」について講演を行いました。

豊富な武器

Gaza Cybergangは、サイバースパイ活動を専門に、主に中東と中央アジアの国々で作戦を展開しています。彼らが標的とするのは、政治家、外交官、ジャーナリスト、活動家、その地域で政治的な活動をしている市民です。

2018年1月〜2019年1月の当社統計によると、攻撃を受けた回数が最も多かったのは、パレスチナ自治区内に存在する標的でした。ヨルダン、イスラエル、レバノンでも相当数の感染試みが行われています。攻撃では、複雑さの程度の異なる複数の手段やツールが使用されていました。

Kaspersky Labのエキスパートは、このサイバー犯罪集団の中に3つのグループがあることを突き止めました。このうち2つについては、過去に取り上げています。1つはDesert Falcons作戦を実施したグループ、もう1つは標的ごとにカスタマイズした攻撃を繰り広げたOperation Parliament(英語記事)として知られるグループです。

今回取り上げるのは、当社が「MoleRATs」と呼ぶグループです。このグループが展開する活動は、同グループがpastebin.comをよく使用することから「SneakyPastes」と名付けられました。彼らの武器は比較的シンプルなツールですが、だからといってSneakyPastesの危険性が低いわけではありません。

SneakyPastes

この作戦は複数の段階に分かれています。まずは、使い捨てのアドレスとドメインを使ったフィッシングメールから始まります。メールには、マルウェアへのリンクが記載されている場合や、感染したファイルが添付されている場合があります。受け取った人が添付ファイルを実行(またはリンクをクリック)すると、連鎖的に感染を引き起こすようにプログラムされた第1段階のマルウェアを受け取ることになります。

メールの内容は、政治的交渉の記録または信用ある団体からのメッセージと、ほとんどが政治関連です。

コンピューター内部に入り込んだ第1段階のマルウェアは、居場所を確保し、自身の存在がウイルス対策製品に見つからないようにし、指令サーバーを隠します。

攻撃者は、一般に公開されているサービス(pastebin.com、github.com、mailimg.com、upload.cat、dev-point.com、pomf.cat)を利用して、攻撃の後段階(マルウェア配布を含め)を実施し、指令サーバーとの通信を行います。複数の方法を同時に使い、抽出した情報を配信するのが一般的な流れです。

最後に、RATマルウェアがデバイスに感染します。このマルウェアは、ファイルのダウンロードまたはアップロード、アプリケーションの起動、文書の検索、情報の暗号化などの強力な機能を持っています。

このマルウェアは感染先のコンピューターをスキャンしてPDF、DOC、DOCX、XLSX形式のファイルの場所をすべて突き止め、これらを一時的にフォルダーに保存し、分類し、アーカイブした上で暗号化し、最終的には複数のドメインを経由して指令サーバーに送ります。

当社では実際に、このタイプの攻撃に使用されたツールを複数検知しています。これらツールの詳細と技術的な説明については、Securelistの記事(英語)をご覧ください。

総合的な脅威には総合的な保護対策を

当社の製品は、SneakyPastes作戦で使用されるコンポーネントに対抗できるように作られています。被害を回避するには、以下の対策をお勧めします。

  • 危険なメール(不特定多数に宛てられたものと、特定の個人宛てのもの)の見分け方を、従業員に教える。Gaza Cybergangの攻撃は、フィッシングメールから始まります。フィッシングメールについてはKaspersky Dailyでもたびたび取り上げていますので、参考としてご利用ください。
  • 複雑で多段階にわたる攻撃に対抗することのできる、統合的なソリューションを導入する。ネットワークレベルで攻撃に対抗するには、Kaspersky Anti Targeted AttackKaspersky Endpoint Detection and Responseを組み合わせての使用をお勧めします。
  • 当社の脅威インテリジェンスサービスをご契約の場合、最新のサイバー脅威に関する詳細なレポートをご覧いただくことができます。本サービスについては、jp-sales@kaspersky.comまでお問い合わせください。