3 月 20 日、Budapest University of Technology and Economics(ブダペスト工科経済大学)の Laboratory of Cryptography and System Security(Crysys)は、同研究所で特定した標的型攻撃、TeamSpy についての調査結果を発表しました。シマンテックはこの脅威に対する保護対策を 2011 年から提供しており、現在はこれを Backdoor.Teambot として検出します。また、以下の IPS シグネチャも提供しています。
この攻撃は、リモート管理ツールとして人気の高い TeamViewer を悪用して、被害者のコンピュータ上で動作するマルウェアを制御します。このトロイの木馬には、悪質な DLL とともに正規のアプリケーションがパッケージ化されており、暗号化された設定ファイルにコマンド & コントロール(C&C)サーバーと通信するためのパラメータが記録されています。
そして、Backdoor.Teambot はこの 2 年間に進化を遂げました。たとえば、最新バージョンでは、監視機能が大幅に強化されたモジュールが確認されています。C&C サーバーで検出されたコードからは、通信方法の変化に対応するためのマイナーな変更も認められます。
2011 年以来のシマンテックのデータを見てみると、Backdoor.Teambot の影響は多くの国や地域に及んでいることがわかります。
図 1. Backdoor.Teambot による被害のあった国や地域
1 つの C&C サーバーのコントロールパネルには、感染したクライアントと TeamViewer の資格情報に関するリストが表示されます。
図 2. Backdoor.Teambot の C&C サーバーのコントロールパネル
2011 年までさかのぼって、感染したコンピュータの記録も確認できます。
図 3. 2011 年に Backdoor.Teambot に感染したコンピュータの一部
Backdoor.Teambot などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。