悪名高いハッキンググループ「Turla」がマルウェアを巧妙化させている。このマルウェアは侵入したネットワークに自らを埋め込み、密かにスパイ行為を行うように作られている。
マルウェア「Neuron」と「Nautilus」の亜種は、執拗な攻撃を行っている高度なスパイグループTurlaによるものとみられており、これまで政府、軍、エネルギー関連の組織や民間組織など、幅広い標的を対象にサイバースパイ攻撃を繰り返している。
2017年は領事館や大使館など、とりわけ外交関係の組織に対象を絞っていたようだ。
Turlaグループは主として「Windows」のメールサーバとウェブサーバを標的に、巧みに作成したフィッシングメールで侵入し、NeuronとNautilusを「Snake」ルートキットと併用して攻撃する。
これらのツールを組み合わせることで、Turlaは侵害したシステムへのアクセスが可能となり、機密データをこっそり収集したり、システムをさらなる攻撃を仕掛けるためのゲートウェイとして利用したりできる。
Turlaは非常に高度なスパイグループのため、絶えず手口を変え、攻撃手法を高度化している。現地時間1月18日、英政府通信本部(GCHQ)のサイバーセキュリティ部門である英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は、Turlaが検出を回避するように変更したNeuronの新版を配布しているという警告を発した。
検出をすり抜ける手口の1つとして、暗号化したインメモリペイロードを使用し、プレーンテキストのディスクには全く触れないようにした。この変更により、Neuronはウイルス対策ソフトがディスクスキャンを行う際に、検出を回避できる。しかし、メモリをスキャンするソフトなら、ペイロードを発見できる「可能性がある」と、NCSCは述べている。
Neuronの作成者は暗号化の手法も変更し、1つではなく複数のハードコードされた暗号鍵を設定した。これも、ほかの多数の変更と同じように、ネットワークセキュリティ管理者による検出と解読を、ますます困難にするためとみられる。
Turlaグループの動きは実に早い。コード内にあるコンパイル時刻は、このマルウェアの新版が、Neuronに関する警告が11月に公表されてからわずか5日後に作成されたことを示している。
NCSCは、以前Turlaの攻撃対象となった組織に、「これらの新しいツールの有無を入念にチェックするように」忠告している。
提供:iStock
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。