Kaspersky Labは5月25日、同社のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)が過去数カ月にわたり調査してきた、日本およびアジア太平洋地域(APAC)における複数のサイバースパイ組織の攻撃について発表した。これらの攻撃には、Microsoft Officeの脆弱性である「CVE-2015-2545」(パッチ公開済み)を突く脆弱性攻撃(エクスプロイト)が用いられている共通点があり、Platinum、APT16、EvilPost、SPIVYなどのサイバースパイ組織が知られていたが、このたび、新たに「Danti(ダンティ)」が発見されたという。同社日本法人が6月2日、抄訳で伝えた。
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集や調査研究を行うとともに、マルウェアによるインシデント発生時の対応措置を担当している。
今回の調査で発見されたDantiは、主に外交機関を重点的に狙っており、すでにインド政府組織の内部ネットワークにフルアクセスできる状況になっている可能性があるという。同社アンチマルウェア製品の各種コンポーネントから情報を収集する分散型アンチウイルスネットワークのKaspersky Security Network(KSN)では、インドのほかにもカザフスタン、キルギスタン、ウズベキスタン、ミャンマー、ネパール、フィリピンといった国々で、Dantiのトロイの木馬の一部が2016年2月初旬から確認されており、その活動は現在も継続しているとのこと。
Dantiは、インド政府高官の名前をかたったフィッシングメールを利用して標的を欺き、コンピュータを感染させた後にバックドアを設置し、機密データを窃取している。その出自は不明だが、GReATのリサーチャーは、NetTravelerやDragonOKなどのサイバー犯罪組織と関連があると見ており、これらの組織には中国語の話者がいると考えられるという。
またGReATのリサーチャーは、台湾やタイの企業や組織に対してCVE-2015-2545を使った別の攻撃「SVCMONDR」も確認している。この名前は、脆弱性を突いた後にダウンロードされるトロイの木馬から命名された。このトロイの木馬はDantiが利用するものとは異なるが、Dantiや、中国語の話者が関わっていると考えられるサイバースパイ組織「APT16」との共通点があるとのこと。
なお、このCVE-2015-2545脆弱性を悪用すると、不正なEPS形式の画像ファイルを用いて任意のコードを実行することができる。このエクスプロイトは、PostScriptを使用し、Windowsに実装されたアドレス空間配置のランダム化(ASLR)やデータ実行防止(DEP)といったセキュリティ機能を回避するため、深刻度は高いと判断されている。
同社によると、高度な技術力を持つサイバースパイ組織は、数年前までゼロデイ脆弱性を使う特徴が見られたが、最近では安価で一定の感染率も見込める既存の脆弱性を悪用したエクスプロイトを利用する傾向があるという。
Kaspersky Lab Research Center APAC、チーフセキュリティエキスパートのアレックス・ゴスチェフ(Aleks Gostev)氏は、以下のようにコメントしている。
「このエクスプロイトを使ったサイバー攻撃は今後もさらに増えると予想しており、引き続き新たな動きやアジアパシフィック地域のほかの攻撃との関連性を注視していきます。たった1つの脆弱性で一連の攻撃を行う理由は2つ考えられます。1つは、攻撃者がゼロデイ脆弱性のエクスプロイトなど、高度なツールの開発にリソースを使わない傾向にあり、修正パッチ公開から少し時間がたったエクスプロイトでも、ほぼ事足りると考えているからです。もう1つは、標的とする企業や政府機関の修正パッチ適用率が低いことが挙げられます。少なくとも発表されている脆弱性には、修正パッチを適用して防御できるよう、ITインフラ管理を徹底することが重要です」