2 月 18 日、Mandiant 社から「APT1」と題する詳細なレポートが公開されました。このレポートは、多発しているある一連のサイバースパイ活動に焦点を当てており、これに関与している Comment Crew は、少なくとも 2006 年以降さまざまな業種を標的にしてきました。同レポートでは、APT1 インフラに関する最初期の言及としてシマンテックからの発表が引用されています。シマンテックは 2006 年に初めてこの脅威を Backdoor.Wualessとして検出し、それ以来率先してこの攻撃の背後にいるグループを追跡しています。以下の Q&A では、このグループについて特にシマンテックに関連のある情報の概略をお伝えします。
Q: シマンテック製品やノートン製品は、このグループによって利用されている脅威に対する保護を提供していますか?
はい。シマンテックは、ウイルス対策と IPS シグネチャ、さらには評価ベースや振る舞いベースの技術などの STAR マルウェア対策技術によって、Comment Crew が関与する攻撃から保護しています。また、Symantec Mail Security for Microsoft Exchangeも、このグループによる標的型電子メールを検出します。
Q: シマンテックは Comment Crew の活動に気づいていましたか?
はい。シマンテックは、Comment Crew によって利用されているさまざまな脅威に対して常に最善の保護対策を提供するべく、同グループの活動を長年にわたって追跡してきました。
Q: Comment Crew という名前の由来は何ですか?
Comment Crew と名付けられたのは、このグループが HTML のコメントを利用してコマンド & コントロールサーバーへの通信を秘匿することに由来しています。
Q: この攻撃の被害者はどのように感染するのですか?
最初の感染は、標的に送りつけられたスピア型フィッシングメールから始まります。この電子メールには、その標的に関連するテーマに沿ったファイルが添付されています。Comment Crew によって利用されたサンプルの内、シマンテックの技術によって遮断された最近のサンプルをいくつか紹介します。
- U.S. Stocks Reverse Loss as Consumer Staples, Energy Gain.zip
- Instruction_of_KC-135_share_space.doc
- New contact sheet of the AN-UYQ-100 contractors.pdf
- U.S. Department of Commerce Preliminarily Determines Chinese and Vietnamese Illegally Dumped Wind Towers in the United States.doc
- ArmyPlansConferenceOnNewGCVSolicitation.pdf
- Chinese Oil Executive Learning From Experience.doc
- My Eight-year In Bank Of America.pdf
最近のブログでご報告した例と同様に、悪質な添付ファイルを開くと、標的システムに対して悪用が試みられます。悪質なペイロードだけでなく、成功率を高めるために正常な PDF ファイルも一緒に投下されます。
Q: シマンテックは、このグループがどのような組織を標的としているか把握していますか?
はい。シマンテックの遠隔測定によれば、金融、情報技術、航空宇宙、エネルギー、電気通信、製造、運輸、メディア、公共部門など、多岐の業種が標的になっていることが判明しています。以下の図は、このグループに関連する脅威の検出件数を 2012 年初頭からまとめた分布図です。
図. Comment Crew に関連する脅威検出の分布図
Q: 現在、このグループによって最も多く利用されている脅威は何ですか?
シマンテックは昨年、このグループによって最も多く利用されている脅威として Trojan.Ecltys、Backdoor.Barkiofork、Trojan.Downbotを特定しました。
Q: シマンテックはこれらの攻撃について、これまでに何か発表していますか?
はい。最近シマンテックは、Trojan.Ecltysおよび Backdoor.Barkioforkの標的と技術に関する情報を公開しました。いずれの脅威も、Comment Crew によって利用されているものです。
また、このグループに関連する攻撃の調査も行っています。
Q: Comment Crew によって利用されている脅威に対するシマンテックの検出定義にはどのようなものがありますか?
- Trojan.Ecltys
- Backdoor.Barkiofork
- Backdoor.Wakeminap
- Trojan.Downbot
- Backdoor.Dalbot
- Backdoor.Revird
- Trojan.Badname
- Backdoor.Wualess
また、このグループによって利用されているその他の数多くのファイルを各種検出定義で検出します。
Q: これらの脅威に対する IPS 保護は提供されていますか?
はい。Comment Crew に関連する脅威を捕捉するために、いくつかの IPS シグネチャを用意しています。
- System Infected: Trojan.Ecltys Activity 2
- System Infected: Barkiofork Malware Activity
- System Infected: Shady Trojan Activity
- System Infected: Dalbot Backdoor Activity
Q: 今回のレポートは、Comment Crew の活動にどう影響するでしょうか?
ここまで情報が明らかになりながらも、Comment Crew は今後も活動を継続するものとシマンテックは考えています。シマンテックでは、Comment Crew の活動について監視を続け、各種の攻撃に対する万全の保護を引き続き提供します。Comment Crew のようなグループの攻撃から確実に身を守るために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。