悪名高いサイバー犯罪組織「Turla」、新たなドロッパー「Topinambour」の配信に正規ソフトウェアを悪用
[本リリースは、2019年7月15日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyの調査チームは、ロシア語話者とみられるサイバー犯罪組織「Turla」が、マルウェア感染のツールセットを改良していたことを発見しました。具体的には、新しいドロッパー「Topinambour」内へのJavaScriptで書かれた既知のマルウェア「KopiLuwak」の包含、ほかのプログラミング言語を使ってKopiLuwakに類似した2つのマルウェアの作成、VPNなどの正規ソフトウェアのインストールパッケージをTopinambourに感染させて配信、など多岐にわたります。これらの目的は、検知されることをできる限り回避し、標的を正確に狙うためと調査チームはみています。Topinambourは、2019年初頭のある政府機関への攻撃において特定されました。
悪名高いサイバー犯罪組織Turlaは、政府および外交関連組織を標的とするサイバースパイ活動で知られています。Turlaは革新的であると言われており、代表的なマルウェアとしては、2016年後半に初めて存在が確認されたKopiLuwakが挙げられます。2019年に入り、Kasperskyの調査チームは、Turlaがステルス性が高く検知を極力避けるような新たなツールと手法を取り入れていることを突き止めました。
Topinambourは、TurlaがJavaScriptで書かれたマルウェアKopiLuwakを配信、ドロップするために利用している新しい.NETファイルです。この配信とドロップは、インターネット上の検閲を迂回することが可能なVPNなど正規のソフトウェアの感染済みインストールパッケージ経由で行われます。
KopiLuwakはサイバースパイ活動を目的として作られており、Turlaによる最新の感染プロセスには、このマルウェアが検知されることを避けるための手法が含まれています。たとえば、指令サーバーのインフラストラクチャには、通常のLANに見せかけたIPアドレスが設定されています。また、このマルウェアはほぼ完全な「ファイルレス」であり、感染の最終段階では、このマルウェアが必要なときにアクセスできるように、リモート管理用の暗号化されたトロイの木馬がコンピューターのレジストリに組み込まれます。
KopiLuwakに類似した2つのマルウェアである、.NET版のトロイの木馬「RocketMan」とPowerShell版のトロイの木馬「MiamiBeach」も、サイバースパイ活動を目的として作られています。これらのマルウェアは、KopiLuwakを検知できるセキュリティソフトウェアがインストールされている標的に対して展開するために用意されたと調査チームはみています。感染が成功した場合、これら3つのバージョン全てで、次のような操作が可能になります。
・感染コンピューターについて把握するために、フィンガープリントを取得する
・システムやネットワークアダプタ類の情報を収集する
・ファイルを窃取する
・ほかのマルウェアをダウンロードして実行する
・トロイの木馬MiamiBeachは、スクリーンショットの取得も可能
Kasperskyのプリンシパルセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「2019年にTurlaが生み出した改良版のツールセットには、セキュリティソリューションや調査チームによる検知を極力避けるためと思われる、マルウェアのデジタルフットプリントの削減、知名度の高いKopiLuwakマルウェアに似ているが異なる2つのマルウェアなどの新機能が搭載されています。インターネット上の検閲を回避できる正規のVPNソフトウェアのインストールパッケージを悪用している点から、攻撃者がサイバースパイ活動において標的を明確に定めてきたことが伺えます。Turlaの攻撃手段は進化を続けており、最新のツールや技法から保護するための脅威インテリジェンスとセキュリティソフトウェアの必要性を再認識させられます。たとえば、エンドポイントの保護を行い、インストールソフトウェアのダウンロード後にファイルのハッシュ値を確認することなどがTopinambourのような脅威からの保護につながります」
詳しくは、Securelistブログ「Turla renews its arsenal with Topinambour」(英語)をご覧ください。
https://securelist.com/turla-renews-its-arsenal-with-topinambour/91687/
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、27万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
Kasperskyの調査チームは、ロシア語話者とみられるサイバー犯罪組織「Turla」が、マルウェア感染のツールセットを改良していたことを発見しました。具体的には、新しいドロッパー「Topinambour」内へのJavaScriptで書かれた既知のマルウェア「KopiLuwak」の包含、ほかのプログラミング言語を使ってKopiLuwakに類似した2つのマルウェアの作成、VPNなどの正規ソフトウェアのインストールパッケージをTopinambourに感染させて配信、など多岐にわたります。これらの目的は、検知されることをできる限り回避し、標的を正確に狙うためと調査チームはみています。Topinambourは、2019年初頭のある政府機関への攻撃において特定されました。
悪名高いサイバー犯罪組織Turlaは、政府および外交関連組織を標的とするサイバースパイ活動で知られています。Turlaは革新的であると言われており、代表的なマルウェアとしては、2016年後半に初めて存在が確認されたKopiLuwakが挙げられます。2019年に入り、Kasperskyの調査チームは、Turlaがステルス性が高く検知を極力避けるような新たなツールと手法を取り入れていることを突き止めました。
Topinambourは、TurlaがJavaScriptで書かれたマルウェアKopiLuwakを配信、ドロップするために利用している新しい.NETファイルです。この配信とドロップは、インターネット上の検閲を迂回することが可能なVPNなど正規のソフトウェアの感染済みインストールパッケージ経由で行われます。
KopiLuwakはサイバースパイ活動を目的として作られており、Turlaによる最新の感染プロセスには、このマルウェアが検知されることを避けるための手法が含まれています。たとえば、指令サーバーのインフラストラクチャには、通常のLANに見せかけたIPアドレスが設定されています。また、このマルウェアはほぼ完全な「ファイルレス」であり、感染の最終段階では、このマルウェアが必要なときにアクセスできるように、リモート管理用の暗号化されたトロイの木馬がコンピューターのレジストリに組み込まれます。
KopiLuwakに類似した2つのマルウェアである、.NET版のトロイの木馬「RocketMan」とPowerShell版のトロイの木馬「MiamiBeach」も、サイバースパイ活動を目的として作られています。これらのマルウェアは、KopiLuwakを検知できるセキュリティソフトウェアがインストールされている標的に対して展開するために用意されたと調査チームはみています。感染が成功した場合、これら3つのバージョン全てで、次のような操作が可能になります。
・感染コンピューターについて把握するために、フィンガープリントを取得する
・システムやネットワークアダプタ類の情報を収集する
・ファイルを窃取する
・ほかのマルウェアをダウンロードして実行する
・トロイの木馬MiamiBeachは、スクリーンショットの取得も可能
Kasperskyのプリンシパルセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「2019年にTurlaが生み出した改良版のツールセットには、セキュリティソリューションや調査チームによる検知を極力避けるためと思われる、マルウェアのデジタルフットプリントの削減、知名度の高いKopiLuwakマルウェアに似ているが異なる2つのマルウェアなどの新機能が搭載されています。インターネット上の検閲を回避できる正規のVPNソフトウェアのインストールパッケージを悪用している点から、攻撃者がサイバースパイ活動において標的を明確に定めてきたことが伺えます。Turlaの攻撃手段は進化を続けており、最新のツールや技法から保護するための脅威インテリジェンスとセキュリティソフトウェアの必要性を再認識させられます。たとえば、エンドポイントの保護を行い、インストールソフトウェアのダウンロード後にファイルのハッシュ値を確認することなどがTopinambourのような脅威からの保護につながります」
詳しくは、Securelistブログ「Turla renews its arsenal with Topinambour」(英語)をご覧ください。
https://securelist.com/turla-renews-its-arsenal-with-topinambour/91687/
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、27万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
