新たなAPTグループ「Poseidon」

2016年2月19日

ハッカーが面白半分でマルウェアを作っていた時代は今や昔。最近のマルウェアは、かつてのようにPCを使えないようにすることだけが目的ではありません。マルウェアを作成し、PCに感染させる人々にとって、目的はむしろ金儲けです。サイバー犯罪は、大小さまざまな規模のプレイヤーで構成される業界です。Kaspersky Labのグローバル調査分析チーム(GReAT)のエキスパートは、サイバー犯罪の分野における新たなプレイヤーを発見して「Poseidon」と命名し、Security Analyst Summit 2016で調査結果を発表しました。

poseidon-apt-featured

調査結果が発表されたのは2016年ですが、このグループは新参の攻撃者ではありません。Poseidonの活動は2005年から始まったとみられ、最初の検体の発見は2001年までさかのぼります。先ごろ発見された検体では、Windows 95からWindows 8.1、Windows Server 2012までのWindowsベースのコンピューターのみを標的としています。また、大企業では一般的なドメインベースのネットワークに対して、特別な関心を寄せていることもわかっています。

poseidon-live-photo

攻撃方法

Poseidonはスピアフィッシングで攻撃を開始します。スピアフィッシングはフィッシングの一種であり、大規模なスパム活動は行わず、特定の個人だけを狙います。ソーシャルエンジニアリングを使って、標的が悪意あるメールを開くよう仕向ける手口が一般的です。

標的が悪意あるファイル(よくあるのは、マルウェアが組み込まれたdocファイルやrtfファイル)をダウンロードすると、コンピューターはマルウェアに感染します。興味深いことに、Poseidonのツールキットは多くのアンチウイルス製品を認識し、自己防衛手段としてアンチウイルス製品に検知されないようにするか、アンチウイルス製品のプロセスを攻撃しようとします。

https://twitter.com/kaspersky/status/695610810517872641/

マルウェアがPCにインストールされると、指令(C&C)サーバーとの接続を確立し、ラテラルムーブメント(侵入を拡大するための活動)を開始します。大量の情報を収集し、アクセス権の利用方法やネットワークのマッピング方法を突き止め、まさに目的とするPCを割り出します。Windowsドメインコントロールサーバーが標的の中心となる傾向があり、主な目的は知的財産、企業秘密など、ビジネス上の重要なデータを盗むことです。

こうしたPoseidonの攻撃は、高度にカスタマイズされています。攻撃の初期段階までは共通していることがほとんどですが、それ以降の活動は標的ごとに特別に設計されていました。このため、GReATチームはPoseidonを「カスタムメイドのマルウェアインプラント専門店」と呼ぶことにしました。また、この特徴のせいで、パズルを完成させるまでに膨大な時間を要することにもなりました。一見関連がないように見える攻撃の裏に、実は単独のグループが潜んでいると判明するまで、かなりの時間がかかったのです。

https://twitter.com/kaspersky/status/696700193866174464/

Poseidonは収集した情報を使って、自らをセキュリティ請負業者として採用するように、と標的を脅迫していました。目的が達成された後も、攻撃を継続したり、同じ企業の別の人物を狙った攻撃を開始したりする場合もありました。Poseidonは価値の高い業務データだけに関心を示しているため、国家支援の活動ではない可能性が高いと考えられます。また、Poseidonが収集した情報に興味を示し、十分な金額で買い取ってくれる別のグループに販売するケースも多々あると見られます。

カスペルスキー製品はPoseidonの既知の脅威をすべて把握しており、「Backdoor.Win32.Nhopro」、「HEUR:Backdoor.Win32.Nhopro.gen」、「HEUR:Hacktool.Win32.Nhopro.gen」として検知します。

Poseidonの特徴は、ブラジルでジョイントベンチャーを展開し、ポルトガル語を主要言語とする企業やビジネスを狙った初のAPTグループという点です。また、フランス、インド、カザフスタン、ロシア、アラブ首長国連邦、米国でも被害が確認されています。

現在のところ、被害組織は金融機関や政府機関、エネルギー、通信、製造企業、メディア、広告代理店など、35以上に上ることがわかっています。しかし、GReATのリサーチャーは他にも被害組織が存在すると見ています。Poseidonの攻撃は標的ごとにカスタマイズされているだけでなく密かに進行するので、他のマルウェアの活動と区別するのが難しいためですが、現時点では先に述べた以上の被害組織の特定はできていません。

https://twitter.com/kaspersky_japan/status/696687379256467456/

Kaspersky Labは、進行中の感染が確認された組織と連携し、問題修正の支援やインテリジェンスレポートの提供を行っています。一部の指令サーバーは停止されましたが、Poseidonはサーバーを頻繁に変える傾向があり、現在でも稼働しているものがあります。

今回のサイバー攻撃は、適切な情報セキュリティポリシーとセキュリティ対策が大企業にとっていかに大切かを物語る好例です。Security Analyst Summit 2016では、この他にも新たに発見されたAPTグループについて取り上げました。当ブログでも紹介していますので、そちらも合わせてご覧ください。