シマンテックは、中東で発生した攻撃者グループが、njRAT として知られるシンプルなマルウェアを使いながら勢いを伸ばしていることを確認しています。njRAT は、他の多くのリモートアクセスツール(RAT)と似た機能も備えていますが、アラビア語の話者によって開発、サポートされているという点が特徴的で、結果としてアラビア語圏の攻撃者の間で人気を集めています。
njRAT を使うと、コンピュータのネットワークをいわゆるボットネットとして制御できるようになります。njRAT を使う攻撃者のほとんどが関与しているのは通常のサイバー犯罪活動のようですが、一部のグループが njRAT を使って中東地域の政府を標的としている証拠も見つかっています。
シマンテックは njRAT の 721 個のサンプルを解析し、きわめて多くの感染を確認しました。コマンド & コントロール(C&C)サーバーのドメインは 542 に及び、世界中で 24,000 台のコンピュータが感染していることがわかりました。C&C サーバーの 80% 近くは中東や北アフリカで見つかっており、サウジアラビア、イラク、チュニジア、エジプト、アルジェリア、モロッコ、パレスチナ地域、リビアなどで確認されています。
図 1. njRAT が使う C&C サーバーの大多数は中東や北アフリカで発見されている
C&C サーバーの IP アドレスをたどると、その大部分が ADSL 回線であることから、このマルウェアを使っているのは、そのほとんどが中東地域のホームユーザーであると思われます。
njRAT は、サイバー犯罪の世界で新顔ではありません。公開されたのは 2012 年で、これまでに 3 バージョンがリリースされています。そのすべてが、感染した USB メモリやネットワークに接続されたドライブから拡散します。
njRAT の基本的な機能は、多くの RAT と同じです。別のマルウェアをダウンロードして実行する、シェルコマンドを実行する、レジストリキーを読み書きする、スクリーンショットを取得する、キーストロークを記録する、Web カメラでのぞき見をするといった機能を備えています。
中東のホームユーザーに対するオンラインサポートが万全
njRAT が中東と北アフリカで人気を集めている最大の理由は、大規模なオンラインコミュニティの存在で、マルウェアの開発に関する手順やチュートリアルといった形でサポートが行われています。njRAT を作成したのはクウェートに住む個人ユーザーと目されており、作成者自身も同地域からこのコミュニティに参加しているようです。Twitter では @njq8 というアカウント名を使っており、njRAT の新しいバージョンがダウンロード可能になると、そのアカウントから更新情報を発信しています。
図 2. njRAT の作成者の Twitter アカウント。バージョン 0.7 がダウンロード可能になったことを告知している
シマンテックは、この作成者の WordPress ベースの Web ページも突き止めています。このページは Blogspot の別の Web ページにリダイレクトされており、リダイレクト先には、次の図のように訪問者の統計が表示されます。これを見ても、大多数がサウジアラビアからこのブログにアクセスしていることがわかります。
図 3. @njq8 が Blogspot の Web ページで公開している訪問者統計
njRAT の使い方については、技術サポートもチュートリアルも広く Web に出回っています。シマンテックは、アラビア語で製作されたチュートリアルの動画も数多く発見しました。これらの動画では、ダウンロードと設定のプロセスがステップバイステップで解説されており、C&C サーバーに対する動的 DNS の名前付けといった手順も含まれています。ここまで徹底したサポートのおかげで、この地域の攻撃者は njRAT 用のツールやサーバーコンポーネントを簡単に作成できるようになっているのです。
図 4. njRAT の作成方法を説明するチュートリアル動画の説明がハッキンググループ MaDLeeTs の Web サイトに掲載されている
図 5. Anonymous Iraq の YouTube チャネルにある最新 3 件のチュートリアル。njRAT を不明瞭化してウイルス対策ソフトウェアを回避する方法を説明している
njRAT を使って標的型攻撃を仕掛けるハッカーグループ
njRAT を使う攻撃者のほとんどはホームユーザーであり、Web カメラでのぞき見をしたり、被害者のコンピュータでスクリーンショットを取得したりといった、いわばオンラインのいたずらに興味を持っている存在にすぎません。しかし、多数の政府機関や政治活動家のネットワークで感染が記録されているのも事実です。
シマンテックが確認したところ、njRAT を使って攻撃を仕掛けているのは 487 グループにも及びます。攻撃の動機はさまざまですが、大まかに言うとハックティビズム、情報の窃盗、ボットネットの構築に分けることができます。
そうしたグループのひとつが「.K.Y.P.E/Tagged」というグループで、エジプトとアルジェリアに置かれた C&C サーバーを使っています。このグループの感染経路は、ファイル共有サイト ge.tt にホストされているスクリーンセーバーです。被害者が、このスクリーンセーバーを含む .rar 圧縮ファイルをダウンロードすると、njRAT の含まれている実行可能ファイルもダウンロードされてしまいます。
図 6. S.K.Y.P.E/Tagged グループが作成した感染スクリーンセーバーが、ファイル共有サイト ge.tt に置かれている
ge.tt にホストされている感染ファイルのタイムスタンプが 2012 年 11 月 20 日である点も注目に値します。njRAT が一般に利用できるようになったのは 2013 年 6 月ですが、njRAT はそれよりも前に作成されていた可能性があるからです。一般公開に先立って、非公開の Web フォーラムのような少人数のグループ間で配布されていたのかもしれません。
シマンテックは、この njRAT が ge.tt にアップロードされたタイミングを中心に感染件数が急増したことも確認しています。S.K.Y.P.E/Tagged グループが使っている C&C サーバーは、njratmoony.no-ip.biz と njr.no-ip.biz の 2 つですが、その 2 つのサーバーのサーバーと通信している、新たに感染したコンピュータの数が 2012 年 10 月と 11 月に急激に増加しています。
図 7. S.K.Y.P.E/Tagged グループの C&C サーバー(njratmoony.no-ip.biz と njr.no-ip.biz)と通信しているコンピュータの 1 日当たりの感染件数
njRAT はサイバー犯罪コミュニティ拡大の兆候
中東では相当数の攻撃者が、その使いやすさから njRAT を使い続けているため、マルウェアを不明瞭化してウイルス対策ソフトウェアによる検出をすり抜けようとする新しい試みが今後も続くものと予測されます。アラビア語圏のコミュニティと同地域に居住する作成者がサポートを続けるかぎり、njRAT は今後も使い続けられるでしょう。
短期的には、ハッカーグループのようにもっと高度な攻撃者が、標的型攻撃に njRAT を使い続ける可能性があります。たとえば、電子フロンティア財団(EFF)と Citizen Lab によるレポートで明らかにされたように、シリア紛争で反体制派グループを狙って悪用された数多くのツールの中に njRAT も含まれていました。しかし、こうしたグループは最終的に、njRAT のように誰でも利用可能なツールからは遠ざかり、サイバー攻撃のために独自のツールや、より高度な RAT の開発を開始するとシマンテックは見込んでいます。
シマンテックは、この脅威を Backdoor.Ratenjay として検出します。
更新情報: このブログの最初のバージョンでは、njRAT が最初に公開されたのは「2013 年 6 月」と説明しましたが、実際には 2012 年から公開されていました。正しくは、このマルウェア専用の Web サイトが公開されたのが 2013 年 6 月です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。