Kaspersky、セキュアなUSBメモリを悪用し、アジア太平洋地域のある政府機関を標的とした高度なAPT攻撃活動を発見
2023年11月10日(金)16時46分 PR TIMES
[本リリースは、2023年10月17日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、ある特定の種類のセキュアなUSBメモリを悪用した、長期にわたり継続しているAPT(持続的標的型)攻撃活動を発見しました。「TetrisPhantom(テトリスファントム)」と名付けたこのスパイ行為は、少なくとも2017年から6年にわたり続いていますが、既知の攻撃者との関連性をうかがわせるものはありません。調査では、アジア太平洋(APAC)地域のある政府機関を狙った非常に標的を絞った攻撃活動であることが判明しています。この攻撃活動は現在も続いているため、GReATのリサーチャーは引き続き状況を注視しています。
--------------
2023年5月、GReATのリサーチャーは、ある特定の種類のセキュアなUSBメモリを悪用した長期的なスパイ活動を発見しました。この攻撃活動は、ハードウェアの暗号化で保護されたUSBメモリを悪用し、APAC地域の政府機関から機密データを窃取していました。今回調査した攻撃活動は対象をかなり絞っていますが、ハードウェアの暗号化で保護される種類のUSBメモリは一般的に広く使用されているため、同じ手法による攻撃に遭遇している政府機関はほかにも存在する可能性があります。TetrisPhantomに関連する攻撃活動は、少なくとも6年前から行われていました。
攻撃者が悪用したUSBメモリには暗号化で保護されたパーティションが存在しており、暗号化されていない部分にバンドルされたカスタムソフトウェアと、ユーザーのみが知っているパスフレーズによってアクセスすることができます。攻撃者はそのカスタムソフトウェアをトロイの木馬化し、複数の悪意のあるモジュールを使用して侵入先のマシンを広範囲にわたって制御することが可能になっていました。
攻撃者は各種コマンドを実行して不正にアクセスしたマシンからファイルや情報を収集し、同じ、または別のセキュアなUSBメモリを介して別のマシンに移動させることができます。さらにこの攻撃活動では、侵入先のシステムでほかの悪意のあるファイルを実行し、情報を収集し窃取することも可能です。
現時点で既知の攻撃者との関連性は見られていませんが、この攻撃活動は現在も続いているため、リサーチャーは引き続き状況を注視しています。また、今後、さらに高度な攻撃活動が発生する可能性があると予測しています。
Kaspersky GReATのシニアセキュリティリサーチャー ノーシン・シャバブ(Noushin Shabab)は、次のように述べています。「この攻撃活動は、仮想化ベースのソフトウェアの難読化、SCSIコマンドを直接使用したUSBメモリとの低レベル通信、セキュアなUSBメモリの接続による自己複製など、非常に高度な手口であることが明らかになりました。攻撃者は高度なスキルとリソースを持ち、機密性が高く保護された政府組織ネットワーク内でのスパイ行為に強い関心を持っています」
■ TetrisPhantomの詳細は、GReATの定期的なAPTレポートに含まれています。そのほかのAPTについてもSecurelistブログ(英語)「APT trends report Q3 2023」でご覧いただけます。
https://securelist.com/apt-trends-report-q3-2023/110752/
■ 既知または未知の攻撃者による標的型攻撃から企業を守るために、以下の対策を講じることをお勧めします。
・オペレーティングシステム、アプリケーション、アンチウイルスソフトウェアを定期的に更新し、既知の脆弱(ぜいじゃく)性にパッチを適用してください。
・機密情報について尋ねてくるメールやメッセージ、電話に注意してください。個人情報を教えたり、疑わしいリンクをクリックする前に、送信者の身元を確認してください。
・SOCチームが最新の脅威インテリジェンスにアクセスできるようにしてください。Kaspersky Threat Intelligence Portalは、当社の脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供しています。
https://www.kaspersky.com/enterprise-security/threat-intelligence
・GReATのエキスパートが担当したKasperskyオンライントレーニングを活用して、サイバーセキュリティチームのスキルアップを図り、最新の標的型攻撃に対抗できるようにしてください。
https://xtraining.kaspersky.com/
・インシデントをエンドポイントレベルで検知、調査し、迅速に修復するために、Kaspersky Endpoint Detection and ResponseなどのEDRソリューションを実装してください。
https://www.kaspersky.co.jp/enterprise-security/endpoint-detection-response-edr
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、22万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
[画像: https://prtimes.jp/i/11471/382/resize/d11471-382-4b42be8c004636ba9056-0.jpg ]
--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、ある特定の種類のセキュアなUSBメモリを悪用した、長期にわたり継続しているAPT(持続的標的型)攻撃活動を発見しました。「TetrisPhantom(テトリスファントム)」と名付けたこのスパイ行為は、少なくとも2017年から6年にわたり続いていますが、既知の攻撃者との関連性をうかがわせるものはありません。調査では、アジア太平洋(APAC)地域のある政府機関を狙った非常に標的を絞った攻撃活動であることが判明しています。この攻撃活動は現在も続いているため、GReATのリサーチャーは引き続き状況を注視しています。
--------------
2023年5月、GReATのリサーチャーは、ある特定の種類のセキュアなUSBメモリを悪用した長期的なスパイ活動を発見しました。この攻撃活動は、ハードウェアの暗号化で保護されたUSBメモリを悪用し、APAC地域の政府機関から機密データを窃取していました。今回調査した攻撃活動は対象をかなり絞っていますが、ハードウェアの暗号化で保護される種類のUSBメモリは一般的に広く使用されているため、同じ手法による攻撃に遭遇している政府機関はほかにも存在する可能性があります。TetrisPhantomに関連する攻撃活動は、少なくとも6年前から行われていました。
攻撃者が悪用したUSBメモリには暗号化で保護されたパーティションが存在しており、暗号化されていない部分にバンドルされたカスタムソフトウェアと、ユーザーのみが知っているパスフレーズによってアクセスすることができます。攻撃者はそのカスタムソフトウェアをトロイの木馬化し、複数の悪意のあるモジュールを使用して侵入先のマシンを広範囲にわたって制御することが可能になっていました。
攻撃者は各種コマンドを実行して不正にアクセスしたマシンからファイルや情報を収集し、同じ、または別のセキュアなUSBメモリを介して別のマシンに移動させることができます。さらにこの攻撃活動では、侵入先のシステムでほかの悪意のあるファイルを実行し、情報を収集し窃取することも可能です。
現時点で既知の攻撃者との関連性は見られていませんが、この攻撃活動は現在も続いているため、リサーチャーは引き続き状況を注視しています。また、今後、さらに高度な攻撃活動が発生する可能性があると予測しています。
Kaspersky GReATのシニアセキュリティリサーチャー ノーシン・シャバブ(Noushin Shabab)は、次のように述べています。「この攻撃活動は、仮想化ベースのソフトウェアの難読化、SCSIコマンドを直接使用したUSBメモリとの低レベル通信、セキュアなUSBメモリの接続による自己複製など、非常に高度な手口であることが明らかになりました。攻撃者は高度なスキルとリソースを持ち、機密性が高く保護された政府組織ネットワーク内でのスパイ行為に強い関心を持っています」
■ TetrisPhantomの詳細は、GReATの定期的なAPTレポートに含まれています。そのほかのAPTについてもSecurelistブログ(英語)「APT trends report Q3 2023」でご覧いただけます。
https://securelist.com/apt-trends-report-q3-2023/110752/
■ 既知または未知の攻撃者による標的型攻撃から企業を守るために、以下の対策を講じることをお勧めします。
・オペレーティングシステム、アプリケーション、アンチウイルスソフトウェアを定期的に更新し、既知の脆弱(ぜいじゃく)性にパッチを適用してください。
・機密情報について尋ねてくるメールやメッセージ、電話に注意してください。個人情報を教えたり、疑わしいリンクをクリックする前に、送信者の身元を確認してください。
・SOCチームが最新の脅威インテリジェンスにアクセスできるようにしてください。Kaspersky Threat Intelligence Portalは、当社の脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供しています。
https://www.kaspersky.com/enterprise-security/threat-intelligence
・GReATのエキスパートが担当したKasperskyオンライントレーニングを活用して、サイバーセキュリティチームのスキルアップを図り、最新の標的型攻撃に対抗できるようにしてください。
https://xtraining.kaspersky.com/
・インシデントをエンドポイントレベルで検知、調査し、迅速に修復するために、Kaspersky Endpoint Detection and ResponseなどのEDRソリューションを実装してください。
https://www.kaspersky.co.jp/enterprise-security/endpoint-detection-response-edr
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、22万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
[画像: https://prtimes.jp/i/11471/382/resize/d11471-382-4b42be8c004636ba9056-0.jpg ]
