日韓狙ったAPT攻撃「Icefog」に注意--急襲後、痕跡消して数日で立ち去る

齋藤公二 (インサイト) 2013年10月04日 16時10分

  • このエントリーをはてなブックマークに追加

 Kaspersky Labs Japan(カスペルスキー)は10月3日、Kaspersky Labの調査チームが2011年から観測している日本と韓国を対象にした持続的標的型攻撃(APT攻撃)の1つ「Icefog」について説明会を開催した。Global Research and Analysis Team日本情報セキュリティラボ所長のMichael Molsner(ミヒャエル・モルスナー)氏がIcefogの特徴をデモで紹介し、これまでに見ないパターンのAPT攻撃だと注意をよびかけた。

 Icefogという名称は、このAPTキャンペーンで使われるバックドアの名称から来ている。Microsoftなど他ベンダーでは「Fucobha」と呼んでいる。指令を与えるコマンド&コントロールサーバ(C&Cサーバ)の名称が漢字で「尖刀三号」となっていたことから「Dagger Three」とも呼ばれる。Molsner氏はIcefogの特徴について、こう話す。


日本情報セキュリティラボ所長 Michael Molsner氏

 「APT攻撃の多くは、長期間にわたってターゲットの組織に潜伏し、データを根こそぎ盗み取る。中には数年かけてテラバイトのデータを盗むケースもある。一方、Icefogは、ターゲットを絞って急襲し、攻撃後は痕跡を消しながら数日で立ち去るといった“ゲリラ型攻撃(hit-and-run)”のパターンを示す。日本と韓国で多く観測されており、国内の企業が欧米企業とやり取りしている情報を狙う。傭兵のような小規模のグループだと考えている」

 攻撃のパターンとしては、一般的なAPTと同様、フィッシングメールを送り、既知の脆弱性を悪用してバックドアを仕込むというものだ。Kaspersky LabがまとめたIcefogのレポートによると、脆弱性としては、Microsoft Officeの脆弱性(CVE-2012-1856、CVE-2012-0158)やJavaの脆弱性(CVE-2013-0422、CVE-2012-1723)、HLP/HWP(韓国の文書ファイル)の脆弱性がある。

 デモで使ったフィッシングメールは、「AKB48のメンバーが猥褻行為を行っている写真があることを元カレが告白した」などといった内容で、AKB総選挙の開催にあわせて6月11日に日本のメディア企業に送信されたものだ。違和感のない自然な日本語で書かれており、日本語のタイトルのWord文書が添付されている。

フィッシングメールの実例 フィッシングメールの実例(Molsner氏が一部改変)
※クリックすると拡大画像が見られます
Wordファイルの実例 添付されていたWordファイルの実例
※クリックすると拡大画像が見られます
temp.datの内容 送信されるデータの実例(temp.datの内容)
※クリックすると拡大画像が見られます

 その添付文書を開いても、当該タレントの水着写真が何枚か貼り付けられているだけで、何か通常と異なる画面がポップアップしたり、ウェブサイトに飛ばされたりといった挙動は見られない。レポートによると、このほかにも、研究員からのレポートや取引先を訪問する際の注意事項などを装ったビジネスメールがある。

 「ユーザーにとっては、通常のWord文書を開いて、閉じただけ。いたずらと思って文書をそのまま消してしまえば、マルウェアに感染したことには気付かない」(Molsner氏)

 しかし、実際には、開いたWord文書を閉じた段階で、WindowsフォルダにDLLファイル(wdmaud.drv)がインストールされ、PCの再起動時に自動的に読み込まれることになる。DLLが読み込まれると、ユーザーのTempディレクトリに「tmp.dat」というファイルが書き込まれる。tmp.datにはIPアドレスやコンピュータ名、Windowsのバージョン、起動中のブロセス名などが書き込まれており、C&Cサーバにデータを送信する。

 C&Cサーバにデータを送信するとtmp.datは自動的に消去される。これは、不審なファイルが作成されていることを気付かれにくくする仕組みだという。データは3分ごとに送信する。

 tmp.datは暗号化(XOR)され、HTTP経由で送信(POST)されるが、その際には、jpeg画像を送信しているようにも見せかけている。C&Cサーバからリモート側にコマンドを送ることもできる。コマンドはOSのコマンドに対応していて、ディレクリの移動やファイルのコピー、ネットワークの調査など、PCを完全に乗っ取ることが可能だ。

 「事前にターゲットとなる人物からどんな情報が得られるかについて、相当の時間をかけて調べているようだ。組織内に長期に潜伏することはなく、特定の情報を入手した段階で攻撃を止めている。標的のプロファイルを分析すると、ターゲットになった業種は軍や造船、海運、ハイテク、通信会社、衛星通信会社、マスメディアなど。攻撃が長く続かず痕跡も残さないため、追跡は簡単ではない」(Molsner氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算