Endpoint Protection

今年のはじめ、米国第 2 位の医療保険会社 Anthem が、大がかりなサイバー攻撃の被害を受けたことを公式に発表しました。医療データの侵害としては史上最大規模の攻撃となり、8,000 万件の患者データが漏えいしています。 

シマンテックは、Anthem 社への侵入を果たした攻撃者が、きわめて豊富なリソースを持つサイバースパイグループ、通称「Black Vine」の一員であると考えています。Anthem 社への攻撃も、このグループの犯行とシマンテックが見なしているいくつもの攻撃活動のひとつにすぎないということです。 

2012 年以降に発生した Black Vine グループの活動については、シマンテックの最新ホワイトペーパーを参照してください。Black Vine の標的には、ガスタービンメーカー、大手の航空宇宙企業、医療関連企業などが含まれています。このグループは、Elderwood プロジェクトを通じて入手したと思われるゼロデイ悪用コードを利用することができ、カスタム開発のバックドア型マルウェアを使います。

Black Vine の複数の攻撃活動をつなぎ合わせて、シマンテックはこの攻撃グループが過去 3 年間でここまで進化してきたことを突き止めました。

背景
Black Vine によるこれまでの攻撃は、以下のゼロデイ脆弱性を狙う悪用コードを、主に水飲み場型攻撃を通じて拡散してきました。

• Microsoft Internet Explorer 'CDwnBindInfo' Use-After-Free Remote Code Execution Vulnerability（Microsoft Internet Explorer の 'CDwnBindInfo' に存在する解放後使用によるリモートコード実行の脆弱性）（CVE-2012-4792）
• Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability（Microsoft Internet Explorer に存在する解放後使用によるリモートコード実行の脆弱性）（CVE-2014-0322）

Black Vine の攻撃活動では、標的が関心を持つ正規の Web サイトに侵入し、そのサイトの訪問者に悪用コードを拡散します。被害者のコンピュータに存在する脆弱なソフトウェアを狙ってゼロデイ脆弱性の悪用に成功すると、Black Vine のカスタムマルウェアが投下され、攻撃者はそのコンピュータにリモートでアクセスできるようになります。水飲み場型攻撃に加え、Black Vine はテクノロジ関連のワナを使って脅威を偽装するスピア型フィッシングの電子メールも送信します。

Black Vine が侵入した企業は、以下の業種にわたっています。

• 航空宇宙
• 医療
• エネルギー（ガス・電気タービンの製造）
• 軍事・防衛
• 金融業
• 農業
• テクノロジー

Black Vine マルウェアへの感染は、大半が米国で発生しており、中国、カナダ、イタリア、デンマーク、インドがそれに次いでいます。

図.  Black Vine マルウェアの地域別感染状況

マルウェア
シマンテックが確認したところ、Black Vine はその活動を通じて 3 種類のカスタムマルウェアを使っています。Hurix、Sakurel（どちらも Trojan.Sakurel として検出されます）、Mivast（Backdoor.Mivast として検出されます）です。

この 3 種類はすべて以下の操作を実行します。

• バックドアを開く
• ファイルとコマンドを実行する
• レジストリキーを削除、変更、作成する
• 感染したコンピュータから情報を収集する

シマンテックの解析から、Black Vine はふんだんなリソースを持つものと示唆されています。検出を避けるために、マルウェアの更新や変更を頻繁に行うことができるからです。

Elderwood との関連性
解析の過程でシマンテックは、Black Vine が特定のゼロデイ悪用コードを、他の攻撃グループと同時に使っていることに気付きました。他の攻撃活動として過去にシマンテックが調査したものには、Hidden Lynx による攻撃などがあります。

これらの攻撃活動には、同じゼロデイ悪用コードが使われていますが、拡散されるペイロードは、攻撃グループごとに独自です。お互いに敵対するグループが同時に同じ悪用コードを使っているという事実を考えると、共通のゼロデイ悪用コード配信フレームワークを利用しているとも推察されます。

シマンテックは以前、問題のこのフレームワークを Elderwood プラットフォームとして認定しました。Elderwood をシマンテックが初めて調査したのは 2012 年ですが、それ以来、このプラットフォームは最新のゼロデイ悪用コードを使って常に更新され続けています。2014 年にシマンテックは、Elderwood フレームワークが 1 つのグループに限らず複数の攻撃グループによって使われていることを発見しました。Elderwood のゼロデイ悪用コードを利用する攻撃活動はすべて、中国に拠点を置く攻撃者の犯行であることが確認されています。

その他のレポートでは、Black Vine の活動に関与する攻撃者が、北京に本拠を置くセキュリティ企業 Topsec 社と関連している可能性も指摘されています。

まとめ
Black Vine は、狙った企業に対してサイバースパイ活動を実行できるだけの豊富なリソースを持つ、恐るべき攻撃グループです。過去の活動に関するシマンテックの記録から考えれば、Black Vine はこれからも悪質な活動を続けることは間違いありません。

この攻撃グループがもたらす危険性を十分に理解し、重要な情報の防御態勢を強化できるように、シマンテックのホワイトペーパーをぜひお読みください。

保護対策
シマンテックは、Black Vine のマルウェアに対する保護対策として、以下の検出定義ファイルを提供しています。

ウイルス対策

• Backdoor.Mivast
• Trojan.Sakurel

侵入防止システム

• System Infected: Trojan.Sakurel Activity

参考資料
Black Vine グループとその攻撃に関するシマンテックの調査について詳しくは、シマンテックのホワイトペーパーをお読みください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】