政府機関などを狙うハッキング集団「Turla」がマルウェアを巧妙化--英当局が警告

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2018-01-23 11:20

 悪名高いハッキンググループ「Turla」がマルウェアを巧妙化させている。このマルウェアは侵入したネットワークに自らを埋め込み、密かにスパイ行為を行うように作られている。

 マルウェア「Neuron」と「Nautilus」の亜種は、執拗な攻撃を行っている高度なスパイグループTurlaによるものとみられており、これまで政府、軍、エネルギー関連の組織や民間組織など、幅広い標的を対象にサイバースパイ攻撃を繰り返している。

 2017年は領事館や大使館など、とりわけ外交関係の組織に対象を絞っていたようだ。

 Turlaグループは主として「Windows」のメールサーバとウェブサーバを標的に、巧みに作成したフィッシングメールで侵入し、NeuronとNautilusを「Snake」ルートキットと併用して攻撃する。

 これらのツールを組み合わせることで、Turlaは侵害したシステムへのアクセスが可能となり、機密データをこっそり収集したり、システムをさらなる攻撃を仕掛けるためのゲートウェイとして利用したりできる。

 Turlaは非常に高度なスパイグループのため、絶えず手口を変え、攻撃手法を高度化している。現地時間1月18日、英政府通信本部(GCHQ)のサイバーセキュリティ部門である英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は、Turlaが検出を回避するように変更したNeuronの新版を配布しているという警告を発した

 検出をすり抜ける手口の1つとして、暗号化したインメモリペイロードを使用し、プレーンテキストのディスクには全く触れないようにした。この変更により、Neuronはウイルス対策ソフトがディスクスキャンを行う際に、検出を回避できる。しかし、メモリをスキャンするソフトなら、ペイロードを発見できる「可能性がある」と、NCSCは述べている。

 Neuronの作成者は暗号化の手法も変更し、1つではなく複数のハードコードされた暗号鍵を設定した。これも、ほかの多数の変更と同じように、ネットワークセキュリティ管理者による検出と解読を、ますます困難にするためとみられる。

 Turlaグループの動きは実に早い。コード内にあるコンパイル時刻は、このマルウェアの新版が、Neuronに関する警告が11月に公表されてからわずか5日後に作成されたことを示している。

 NCSCは、以前Turlaの攻撃対象となった組織に、「これらの新しいツールの有無を入念にチェックするように」忠告している。


提供:iStock

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]