80ものモジュールと独自機能を備えたスパイ活動フレームワーク「TajMahal」を発見 ~ 既知のいかなるサイバー犯罪組織との関連性も見られず ~

株式会社カスペルスキー 2019年04月18日 13時40分
From PR TIMES



Kaspersky Labの調査チームは、高度な機能を持つサイバースパイ活動のフレームワークを発見しました。このフレームワークは、少なくとも2013年から利用されており、既知のいかなるサイバー犯罪組織との関連性も見られません。調査チームが「TajMahal(タージマハル)」と名付けたこのフレームワークは、約80の悪意あるモジュールを備えています。プリントキューから情報を傍受する機能や、過去に接続されたUSBデバイスのファイルを、同じUSBが再接続された際に窃取する機能など、これまでのAPT攻撃では確認されたことのない機能を含んでいます。調査チームは、現時点で唯一、中央アジアの在外大使館が標的になったことを確認していますが、ほかの組織も標的になりうる可能性があります。

Kaspersky Labの調査チームが2018年に発見したTajMahalは、広範囲にわたるサイバースパイ活動向けに設計された、高機能なAPTのフレームワークです。マルウェアサンプルの解析結果から、このフレームワークは少なくとも過去5年間、開発を継続しながら使用されていたことが判明しています。最古のサンプルの日付は2013年4月で、最新のサンプルの日付は2018年8月でした。調査チームは、窃取したデータを取り出すために使用しているファイル名を引用し、このフレームワークを「TajMahal」と名付けました。

TajMahalのフレームワークには、「Tokyo」「Yokohama」と名付けられた、2つの主要パッケージが含まれています。2つのパッケージのうち、Tokyoの方が小さく、3つのモジュールを含んでいます。Tokyoのメイン機能はバックドアで、指令サーバーに定期的に接続します。PowerShellを使用しており、不正侵入が第2段階に移行した後もネットワーク内にとどまります。

不正侵入の第2段階では、完全な機能を備えたスパイ活動のフレームワークであるYokohamaが使用されます。Yokohamaには、多くのプラグイン、オープンソースとサードパーティ固有のライブラリやファイル構成関連などのモジュールを内包した仮想ファイルシステム(VFS)が含まれています。ローダー、オーケストレーター、指令サーバーとのコミュニケーター、音声レコーダー、キーロガー、画面およびWebカメラ画像やドキュメントおよび暗号キーの窃取など、全部で約80のモジュールがあります。

また、TajMahalは、ブラウザーのCookie取得や、Appleのモバイルデバイスのバックアップリスト収集、標的ユーザーが作成したCDイメージやプリントキューのドキュメントを窃取することもできます。過去に接続したUSBデバイスから特定のファイルを窃取するリクエストを出し、同じUSBが再度接続された際にそのファイルを盗みます。

Kaspersky Labによって発見された標的のシステムは、TokyoとYokohamaの両方に感染していました。このことから、第1段階の感染でTokyoが使用され、関心を持った標的に対して第2段階の感染に完全な機能を備えたYokohamaが使用されたとみられます。バックアップの目的で、Tokyoはそのまま残されていたと考えられます。

これまでのところ、唯一の標的は中央アジアの在外大使館であり、2014年までに感染していたことが確認されています。現時点では、TajMahalの配信や感染の経路は分かっていません。

Kaspersky Labのチーフマルウェアアナリスト、アレクシー・シュルミン(Alexey Shulmin)は次のように述べています。「TajMahalのフレームワークは非常に興味深く、関心を引く発見です。間違いなく高機能であり、いままで高度なサイバー犯罪集団での利用が確認されていない機能を備えています。ただ、数多くの疑問が残っています。たとえば、たった1つの標的のために膨大な投資を行ったとは考えにくいことから、可能性としては、まだ確認されていない標的が存在する、または、このマルウェアのさらなるバージョンが出回っている、もしくはその両方が考えられます。この脅威の配信や感染の経路は未だに不明です。5年以上も検知されなかったのは、比較的活動が少なかったからなのか、別の理由からなのかも、興味深い疑問です。既知のサイバー犯罪グループとの関連性やそのようなグループに帰属する手がかりも見つかっていません」

カスペルスキー製品は、この悪意あるフレームワークを以下の検知名で検知およびブロックします。
HEUR:Trojan.Multi.Chaperone.gen

■ 既知および未知のサイバー犯罪組織による高度な標的型攻撃から企業や組織を守るために、次のことを推奨します。
・社内のセキュリティチームが、最新のサイバー脅威インテリジェンスに確実にアクセスできるようにする。
・社内で使用しているすべてのソフトウェアを定期的にアップデートする。特に新しいセキュリティパッチがリリースされたときは必ずアップデートする。脆弱性評価機能とパッチ管理機能を備えたセキュリティ製品を使用することで、これらのプロセスの自動化が可能となる。
・エクスプロイトを含む、既知および未知の脅威から効果的に保護する、ふるまいベースの検知機能を備えた立証済みのセキュリティソリューションを選択する。
・多くの標的型攻撃は、フィッシングやそのほかのソーシャルエンジニアリングがきっかけとなるため、従業員がサイバーセキュリティの基本的な予防策を理解していることを確認する。

TajMahal APTのフレームワークについて詳しくは、Securelistブログ「Project TajMahal – a sophisticated new APT framework」(英語)をご覧ください。
リンク

■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。
[画像: リンク ]


プレスリリース提供:PR TIMES リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]