日本を狙った標的型攻撃「ブルーターマイト」による感染が拡大

カスペルスキーは8月20日、同社の調査分析チーム（GReAT）が日本を狙った標的型攻撃（APT）「Blue Termite：ブルーターマイト」の新たな動きを観測したことを明らかにした。

今回、観測された変化の1点目は感染の手法で、これまでの標的型攻撃メールに加えて、ドライブバイダウンロードの利用を確認した。2点目は、攻撃に用いられるマルウェアの変化で、より標的型に特化したカスタマイズが施されていることがわかった。3点目は、感染被害が数の上でも範囲においても拡大していること。

「ブルーターマイト」とは、日本国内の組織に標的を絞った攻撃で、通常は国外に設置されている攻撃者の指令サーバのほとんどが国内に設置されているのも特徴的。

主な感染手法は、これまでは標的型攻撃メールだったが、7月には、Hacking Team社から流出したAdobe Flash Playerのゼロデイ脆弱性を悪用し、複数の改竄サイトにマルウェアを設置したドライブバイ・ダウンロードの利用のほか、水飲み場型攻撃が取り入れられていることを確認した。

同社は、攻撃を段階ごとに分析しており、各段階で目的を達成するために用いられるマルウェアやツール類が異なることを確認している。

第1段階では、ソーシャル・エンジニアリングやそれまでに窃取した情報をもとに標的を定め、メールやドライブバイ・ダウンロードを駆使して「Emdivi t17」に感染させる。バックドアを仕掛け、感染先の端末を指令サーバの配下におく。

第2段階では、「Emdivi t17」を経由して感染先の情報を調査・収集し、上位版である「Emdivi t20」に感染させる。次の段階で用いられるほかのマルウェアや攻撃ツールも設置され、組織内の別の端末に感染を広げるケースもある。

第3段階では、感染先の端末内で収集した機密情報や重要情報を窃取する。収集ならびに窃取した情報をもとに、次の標的へと攻撃を拡大するとともに、ホスティング事業者などに侵入した場合は、新たな指令サーバとしてのインフラの構築も行われる。

攻撃者の指令サーバと感染したと見られる端末との通信数の推移を見ると、2015年6月時点での固有のIPアドレス数は300を数え、１日当たり最大の通信数は約140だったという。しかし、7月に入ると固有のIPアドレス数は3倍以上の1000まで急増し、通信数は約280と倍増したとのことだ。

指令サーバとの通信数が倍増した主な要因としては、新たにドライブバイダウンロードが感染手法として利用されたこと、マルウェアのカスタマイズが進み、感染した組織が被害に気づきにくくなっていることが挙げられている。