デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは本日、中央アジアの企業や政府機関を標的としたAPT(Advanced Persistent Threats)攻撃を検出したことを発表しました。アバストは、ESETのマルウェアアナリストと共同で、APTグループが中央アジアの通信会社、ガス会社、政府機関においてスパイ活動を実施するために使用したマルウェアサンプルを分析しました。
該当APTグループは、企業ネットワークへ長期的なアクセスを得るためにバックドアを設置しており、以前モンゴル、ロシア、ベラルーシでも活動していたグループであるとアバストは分析しています。また、過去に中国のAPTグループによる使用が確認されているGh0st RATを使用していること、さらに中国に拠点を置くグループのキャンペーンコードと類似したコードを利用していることから、当グループも中国に拠点を置いていると考えています。
バックドアの設置により、APTグループはファイルの操作・削除、スクリーンショットの撮影、プロセスやサービスの変更、コンソールコマンドの実行、そしてグループが侵入した痕跡の削除さえ行えるようになっていました。バックドアに、C&Cサーバへのデータ流出を指示する機能を持つコマンドも確認されています。感染したデバイスは、C&Cサーバからプロキシとして動作したり、すべてのネットワークインターフェース上の特定のポートを観察する指示を受けることも可能になっていました。また、グループはGh0st RATやWindows Management Instrumentationなどのツールを使用し、侵入したネットワーク内を横展開していました。
アバストのマルウェア研究者であるルイジ―ノ・カマストラ(Luigino Camastra)は、次のように述べています。「攻撃の背後にいるサイバー犯罪者のグループは、ウイルス対策ソフトによる検出を回避するため、バックドア以外にもMimikatzやGh0st RATなどのカスタムツールを頻繁に編集していました。そのため、サンプル数が膨大になると共に、バイナリがVMProtectで保護されていることが多くなり、分析が難しくなっています。また、今回発見した攻撃が他国で行われた攻撃と結びついたことから、このグループはさらに多くの国を標的にしていると考えられます。」
アバストは調査結果を現地のCERTチームと影響を受けた通信会社に報告しました。
アバストによる分析の詳細は、こちら(英語)でご覧いただけます。