Endpoint Protection

セキュリティベンダーの共同作戦で Hidden Lynx のマルウェアに打撃 

10-17-2014 01:52 AM

シマンテックをはじめ多数のセキュリティベンダーが参加した共同作戦によって、中国に拠点を置くサイバースパイグループ Hidden Lynx が利用している Backdoor.Hikit や他の多くのマルウェアに打撃を与えました。「Operation SMN」と呼ばれる、この業界横断的な共同作戦では、主要セキュリティベンダーが知見とリソースを共有することによって複数ベンダーによる広範な保護体制が確立されたので、マルウェアの威力は大きく低下するでしょう。今回の作戦に参加したのは、シマンテックのほか、Cisco、FireEye、F-Secure、iSIGHT Partners、Microsoft、ThreatConnect、Tenable、ThreatTrack Security、Novetta、Volexity の各社です。

Hikit バックドアは、米国や日本、台湾、韓国、その他の地域の幅広い標的に対するサイバースパイ攻撃で利用されています。Hikit を利用する攻撃者は、政府機関、テクノロジー業界、研究機関、防衛産業、航空産業に関連する組織に対して特に狙いを集中しています。

Operation SMN は、APT(Advanced Persistent Threat)グループの壊滅に向けて業界横断的にベンダーが初めて集結した作戦です。Gameover Zeus やトロイの木馬 Shylock の背後に存在する攻撃グループに対する作戦など、従来の共同作戦は、基本的にサイバー犯罪グループを対象としていました。

Microsoft 社の新しい Coordinated Malware Eradication プログラムのもとで Novetta 社が調整役となった Operation SMN 作戦の結果、ベンダー各社は豊富な知見を共有することができました。これにより、Hikit や今回新たに発見されたマルウェアなど、その他多くの関連するマルウェアに対する一層効果的な保護対策が実現しています。

Hikit
この作戦の主な標的となった Backdoor.Hikit は、高度な機能を備え、ひそかに活動するリモートアクセス型のトロイの木馬(RAT)です。2011 年以降に注目を集めた、さまざまな攻撃で利用されています。Hikit は、標的のコンピュータ上でバックドアを開くので、攻撃者は、感染したコンピュータから情報をダウンロードしたり、コマンドや他のマルウェアをアップロードしたりできます。

Hikit は、ネットワークトンネリング機能によってプロキシを構成し、アドホックネットワーク生成機能によって複数の侵入先のコンピュータを接続して二次的なネットワークを構成することができます。Hikit には 32 ビット版と 64 ビット版が用意されていて、標的のインフラに応じていずれかが投下されます。

Hikit は少なくとも、Hidden Lynx および Pupa(別名 Deep Panda)という、中国に拠点を置く 2 つの APT グループによるサイバースパイ攻撃で利用されています。2 つのグループに何らかの関連があるのか、または単に同じマルウェアを利用しているだけなのかは現時点では不明です。

Hikit_Pie.png

図 1. Hikit の感染件数の地域別内訳

Hidden Lynx
Hidden Lynx は Aurora とも呼ばれており、高度な技術力と潤沢なリソースを備えた、中国に拠点を置く攻撃グループです。幅広い標的に対して、何度も執拗な攻撃を繰り返しています。

Hidden Lynx について詳しく調査した結果、このグループは 50 ~ 100 人規模の工作員を擁し、さまざまな標的に対して同時に数百件もの攻撃を実行する能力を持っていることがわかりました。攻撃範囲が広いことから、このグループは「雇われプロハッカー集団」として活動しており、報酬を支払う顧客の依頼に応じて攻撃を実行しているものと思われます。

Hidden Lynx は「水飲み場型」攻撃の先駆者とされ、ゼロデイ脆弱性にもまっ先に目を付けているようです。また、標的に対して直接攻撃を実行できない場合は、サプライチェーンをたどって攻撃する能力と粘り強さを備えています。標的組織のサプライヤのセキュリティを侵害して、それを踏み台に最終的な目標に侵入するのです。

2012 年には Hikit を利用して、Bit9 社の信頼済みファイル署名インフラを侵害しました。続いて同年 7 月には、Bit9 社の署名の付いたマルウェアを利用して VOHO 攻撃を実行しています。最終的な標的は、Bit9 社のソフトウェアで保護されたコンピュータを所有する米国企業でした。この VOHO 攻撃においても Hikit が重要な役割を担っていたのです。

それ以降も、主に台湾、米国、日本、韓国の組織に対する攻撃で引き続き Hikit を利用しています。2013 年にはツールを大幅に一新して Backdoor.FexelBackdoor.Gresim という新しい 2 つのマルウェアを導入し、Hikit とともに利用を続けています。Backdoor.Gresim は今回の共同作戦で初めて発見されました。

APT 攻撃活動の阻止に向けて大規模な作戦が実行されたのは、今回が初めてのことです。セキュリティベンダーが協力して、APT グループに対して最大の打撃を与えるべく知見を共有し、協調して取り組むのは歓迎すべきことです。効果的に協力することにより、こうした攻撃グループに狙われる可能性のある組織をより効率的に保護できるようになります。

シマンテックの保護対策
シマンテック製品をお使いのお客様は、次の検出定義によって、これらの攻撃で利用されているマルウェアから保護されています。

ウイルス対策

侵入防止システム

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.