エフセキュア、CozyDukeと社会的地位のある標的を狙う諜報活動との関連を指摘
エフセキュアラボが最新のホワイトペーパーで、CozyDukeが現在も継続する、政府およびその他大規模組織を狙った一連の持続的標的型攻撃(APT)に関与していることを強調。
2015年4月30日ヘルシンキ発 - 本社発表資料抄訳
エフセキュアラボは、マルウェアに関する新しい分析で、政府およびその他大規模組織が直面する継続的な脅威として、CozyDukeを挙げています。CozyDukeは、標的のセキュリティを低下させ、情報を盗むために、いくつかの戦術とマルウェアを組み合わせて利用する持続的標的型攻撃(APT)のツールキットです。エフセキュアの今回の分析では、社会的地位のある標的を狙う多くの攻撃に関与するその他のAPTと、このCozyDukeを関連付けています。
分析によると、CozyDukeは、コマンドアンドコントロールのリソースを有名なMiniDukeおよびOnionDuke APTと共有しています。エフセキュアラボでは、ロシアのTOR出口ノードを使用する人々に対する悪意のある攻撃、NATOおよび多数の欧州の政府機関に対する標的型攻撃など、社会的地位のある標的を狙う攻撃がこれらのAPTプラットフォームに起因すると考えました*。CozyDukeは、このような他のプラットフォームとほぼ同じインフラストラクチャを利用し、OnionDukeが利用するのと類似した暗号化アルゴリズムを含んだコンポーネントを採り入れ、同じテクノロジーを異なる作戦に転用しています。
「これらの脅威はすべて互いに関連し、リソースを共有していますが、特定の標的に対してより効果が上がるよう、少しだけ方法を変えて作成されています」とエフセキュアのセキュリティ・アドバイザーであるショーン・サリバンは述べています。「CozyDukeが興味深いのは、多様な標的に対して利用されていることです。その標的の多くは、依然として欧米の政府や機関ですが、アジアを拠点とする標的に対しても利用されていることがわかっています。このことは注目すべき観察結果です。」
CozyDukeとそれに関連する脅威は、ロシアが起源であると考えられています**。攻撃者は、組織の従業員に、気をそらすおとりファイル(PDFやビデオなど)を添付した電子メールを送信し、その従業員をだまして添付ファイルを開くなどの操作をさせて、組織に足場をつくります。CozyDukeは、気づかれずにその足場を利用してシステムに感染します。攻撃者は、CozyDukeと互換性のある多様なペイロードを利用して、さまざまなタスクを実行できます。これにより、パスワードやその他の機密情報の収集、リモートでのコマンドの実行、または秘密の通信の傍受を行うことができます。
サリバンは、攻撃者の本当の正体と動機が何であるのかを確実に結論づける十分な証拠はないとしながらも、OnionDukeとMiniDukeに起因する攻撃を行っているのは同じ人物であることに、確信を強めています。「CozyDukeが実際に現れたのは2011年以降のことですが、常に拡大を続けている脅威です。現在も変化し続けています。」このことは、これらのツールの改良に時間と金を投資している1つまたは複数のグループが存在することを示唆しています。よって、現在彼らが何を目的にしているのかを知ることに、私たちは焦点を当てる必要があります。」
このホワイトペーパーでは、CozyDukeが感染する前に、サイバーセキュリティソフトウェアの有無を確認していることも指摘しています。ソフトウェアの種類によっては、CozyDukeが攻撃を中止する場合があります。エフセキュアで脅威に関する情報のアナリストを務めるArtturi Lehtiöが執筆したホワイトペーパーは、エフセキュアのWebサイトから無料でダウンロードできます。
*出典: https://www.f-secure.com/weblog/archives/00002764.html
**出典:https://www.f-secure.com/weblog/archives/00002780.html
詳細情報:
CozyDukeマルウェアの分析: https://www.f-secure.com/documents/996508/1030745/CozyDuke
2014年下半期脅威レポート: https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014
*エフセキュアの社名、ロゴ、製品名はF-Secure Corporationの登録商標です。
*本文中に記載された会社名、製品名は各社の商標または登録商標です。
エフセキュアラボは、マルウェアに関する新しい分析で、政府およびその他大規模組織が直面する継続的な脅威として、CozyDukeを挙げています。CozyDukeは、標的のセキュリティを低下させ、情報を盗むために、いくつかの戦術とマルウェアを組み合わせて利用する持続的標的型攻撃(APT)のツールキットです。エフセキュアの今回の分析では、社会的地位のある標的を狙う多くの攻撃に関与するその他のAPTと、このCozyDukeを関連付けています。
分析によると、CozyDukeは、コマンドアンドコントロールのリソースを有名なMiniDukeおよびOnionDuke APTと共有しています。エフセキュアラボでは、ロシアのTOR出口ノードを使用する人々に対する悪意のある攻撃、NATOおよび多数の欧州の政府機関に対する標的型攻撃など、社会的地位のある標的を狙う攻撃がこれらのAPTプラットフォームに起因すると考えました*。CozyDukeは、このような他のプラットフォームとほぼ同じインフラストラクチャを利用し、OnionDukeが利用するのと類似した暗号化アルゴリズムを含んだコンポーネントを採り入れ、同じテクノロジーを異なる作戦に転用しています。
「これらの脅威はすべて互いに関連し、リソースを共有していますが、特定の標的に対してより効果が上がるよう、少しだけ方法を変えて作成されています」とエフセキュアのセキュリティ・アドバイザーであるショーン・サリバンは述べています。「CozyDukeが興味深いのは、多様な標的に対して利用されていることです。その標的の多くは、依然として欧米の政府や機関ですが、アジアを拠点とする標的に対しても利用されていることがわかっています。このことは注目すべき観察結果です。」
CozyDukeとそれに関連する脅威は、ロシアが起源であると考えられています**。攻撃者は、組織の従業員に、気をそらすおとりファイル(PDFやビデオなど)を添付した電子メールを送信し、その従業員をだまして添付ファイルを開くなどの操作をさせて、組織に足場をつくります。CozyDukeは、気づかれずにその足場を利用してシステムに感染します。攻撃者は、CozyDukeと互換性のある多様なペイロードを利用して、さまざまなタスクを実行できます。これにより、パスワードやその他の機密情報の収集、リモートでのコマンドの実行、または秘密の通信の傍受を行うことができます。
サリバンは、攻撃者の本当の正体と動機が何であるのかを確実に結論づける十分な証拠はないとしながらも、OnionDukeとMiniDukeに起因する攻撃を行っているのは同じ人物であることに、確信を強めています。「CozyDukeが実際に現れたのは2011年以降のことですが、常に拡大を続けている脅威です。現在も変化し続けています。」このことは、これらのツールの改良に時間と金を投資している1つまたは複数のグループが存在することを示唆しています。よって、現在彼らが何を目的にしているのかを知ることに、私たちは焦点を当てる必要があります。」
このホワイトペーパーでは、CozyDukeが感染する前に、サイバーセキュリティソフトウェアの有無を確認していることも指摘しています。ソフトウェアの種類によっては、CozyDukeが攻撃を中止する場合があります。エフセキュアで脅威に関する情報のアナリストを務めるArtturi Lehtiöが執筆したホワイトペーパーは、エフセキュアのWebサイトから無料でダウンロードできます。
*出典: https://www.f-secure.com/weblog/archives/00002764.html
**出典:https://www.f-secure.com/weblog/archives/00002780.html
詳細情報:
CozyDukeマルウェアの分析: https://www.f-secure.com/documents/996508/1030745/CozyDuke
2014年下半期脅威レポート: https://www.f-secure.com/documents/996508/1030743/Threat_Report_H2_2014
*エフセキュアの社名、ロゴ、製品名はF-Secure Corporationの登録商標です。
*本文中に記載された会社名、製品名は各社の商標または登録商標です。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
