カスペルスキー、アジアでのスパイ攻撃「TetrisPhantom」を報告–ワーム流行も注視

今回は「カスペルスキー、アジアでのスパイ攻撃「TetrisPhantom」を報告–ワーム流行も注視」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 カスペルスキーは11月10日、メディア向け説明会を開き、アジアの政府機関が標的と見られるサイバースパイ攻撃「TetrisPhantom」について報告した。また、ワームの大規模拡散の発生にも注視しているという。

 この調査を担当しているグローバル調査分析チーム アジア太平洋地域シニアセキュリティリサーチャーのNoushin Shabab氏によると、TetrisPhantomは、同社のマルウェア分析の一環で2023年初頭に確認したという。少なくともアジアの1カ国の政府機関で使用されている機密情報を格納、転送するためのセキュアUSBメモリーに複数のマルウェアを埋め込み、攻撃組織はセキュアUSBメモリー経由でスパイ行為をしていると見られる。同社は、初期調査後数週間のうちに当該国のコンピューター緊急対応機関(CERT)に報告し、現在も連携して調査を継続しているという。

 Shabab氏の分析では、標的のセキュアUSBメモリーには、同社が「XMKR」と命名したマルウェアと、政府機関の関係者が機密情報を扱う際に使用するという「UTetris」プログラムにトロイの木馬機能を追加した不正プログラムが混入されて、さまざまなスパイ活動を実行するほか、特定の接続先にセキュアUSBメモリー経由などでXMKRや不正プログラムを拡散するワーム機能も備えている。

 Shabab氏によれば、分析を進める中で、攻撃組織が少なくとも2017年ごろにスパイ活動を開始した可能性があるという。セキュアUSBメモリーに混入している複数の攻撃ツールを分析すると、まず2017年ごろに「AcroShell」というバックドアプログラムが使われ、攻撃者側と侵入先との通信経路が確立された。

 次に攻撃者は、2019年ごろから「USBDC」と呼ぶツールで、バックドアを経由して侵入先のコンピューターの情報やコンピューターに外部接続されるデバイスの情報などを収集してしていったという。さらに2021年ごろからは、バックドア経由で「GetUSB」というツールを展開し、USBデバイスに格納されるファイルを窃取するようになった。その後に「ExportUSB」というツールも使い、GetUSBが窃取したファイルデータなどを攻撃組織のサーバーに転送するようになったという。

 2022年後半ごろには上述のワーム機能が追加実装され、攻撃組織が侵入先でより広範なスパイ活動を展開するようになったと見られる。

 Shabab氏は、攻撃組織が標的のセキュアUSBメモリーを悪用して、さまざまな攻撃タスクが実行していると指摘する。ユーザーやユーザーグループ、ネットワークのアーキテクチャー、ファイアウォールといった情報の収集のほか、インターネット接続の有無、攻撃者が関心を抱いた特定サーバーへのアクセスの有無、特定の内部IPアドレスへのアクセスの有無、特定の日付での特定の送信者および受信者のメール情報といったものを収集しているという。

 Shabab氏は、「この攻撃組織は、さまざまな攻撃ツールを段階的に用いて、何年にもわたり侵入先に検知されることなく活動を展開している、標的を絞り込んだ非常に高度なサイバースパイ攻撃と言える。セキュアUSBメモリーで機密情報のやりとりを保護するという政府機関特有の方法の隙を突いている。他国でも同様の方法を採用しているとすれば、危険がある」と解説した。

 同社グローバル調査分析チーム アジア太平洋地域ディレクターのVitaly Kamluk氏は、同氏の推測と前置きした上で、セキュアUSBメモリーを使用しているのが、当該国の情報機関である可能性を指摘した。このセキュアUSBメモリーを起動した際に、「Simple Tetris」というゲームの「Tetris」を模したプログラムが実行し、その間にデータの転送処理などが行われるという。

 「一般的な使い方であれば、Simple Tetrisのようなものはない。ゲーム画面を表示して、その裏側での処理を見えないようにしているのは、情報機関のような活動かもしれない」(Kamluk氏)といい、Shabab氏は「実際にどのような政府機関が標的になり、どのような影響が発生しているのかは不明だが、当該国のCERTとの間では緊密に連携した調査を進められている」と述べる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
約60%の企業が「年末調整書類」「身上異動届」に紙を使用–PCA調査
IT関連
2024-05-18 11:23
東京五輪に便乗するマルウェア情報–ファイル削除機能を搭載
IT関連
2021-07-29 23:42
Linux 6.0がリリース、「重要な新要素」やRustの導入は6.1に
IT関連
2022-10-06 11:19
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート
GitHub
2024-02-19 11:26
VR/ARのビジネス利用–顧客サービスに取り入れた2企業の事例
IT関連
2022-11-09 00:44
グーグル、古いPCを無料でよみがえらせる「ChromeOS Flex」を一般提供
IT関連
2022-07-16 16:57
増加するQRコードを悪用したフィッシング–難読化や検知回避の手法も
IT関連
2024-01-10 00:06
ランサムウェア攻撃の変遷–傾向と背景
IT関連
2022-06-09 02:41
ID管理の今後は消費者向けサービスが鍵に–OktaのケレストCOO
IT関連
2021-03-31 14:44
「迷ったら、作らない」を徹底–イトーキ・DX統括部長が説く、ERP導入の舞台裏
IT関連
2024-10-04 08:26
Electron代替を目指すRust製フレームワーク「Tauri」がバージョン1.0に到達、Windows/Mac/Linuxに対応
HTML/CSS
2022-06-17 23:21
グーグル、Python開発者向けの差分プライバシーツール公開
IT関連
2022-02-02 21:06
"国家の利益のため"活動する中国の脅威アクター、東南アジアの大手通信事業者狙う–Cybereason報告
IT関連
2021-08-06 10:09
電子帳簿保存法対応で、経理担当者1人当たり月4.5時間の業務増–Sansan調査
IT関連
2024-02-04 15:21