NetTravelerの被害状況

カスペルスキーは6月10日、マルウェアの「NetTraveler」に関する調査レポートを公開した。NetTravelerはAPT攻撃に使用されるマルウェアファミリーで、40カ国、350件の被害を出し、政府系機関、研究施設や活動家を標的としているという。

APT攻撃とは、サイバー攻撃のひとつで、様々な手段を用いてスパイや妨害行為を行う攻撃のこと。NetTravelerは2004年頃から活動が確認されており、2010~2013年にかけて、最も活動が活発になっているという。標的対象の分野は、宇宙探査、ナノテクノロジー、エネルギー生産、原子力、レーザー、医薬、通信など。

感染手法は、スピアフィッシング型メールに、頻繁に悪用される2つの脆弱性を攻撃するMicrosoft Office形式の悪質ファイルを添付するというもの。ファイルのタイトルは、攻撃対象に合わせて変えられており「Army Cyber Security Policy 2013.doc」「Freedom of Speech.doc」「Activity Detail.doc」など様々だ。

カスペルスキーでは、NetTravelerのコマンド&コントロール(C&C)サーバーから感染に関するログを抽出。C&Cサーバーは、感染マシン上に別のマルウェアをインストールするほか、詐取したデータを抽出するために利用されていたという。これらのデータ量は、合計22GB以上になると見積もられている。

感染マシンから抽出されたデータには、システムリスト、キー操作ログや各種PDF/Excel/Wordが含まれていた。加えて、NetTravelerツールキットはバックドアとして別の情報詐取用マルウェアをインストールする機能を持っており、特定のアプリケーションの設定内容やCADファイルなどの機密情報の詐取を行えるようにカスタマイズすることも可能だという。

また、NetTravelerを分析する過程で、NetTravelerとレッドオクトーバーの両方に感染したケースが6件あった。レッドオクトーバーは別のサイバースパイ活動であり、NetTravelerとの繋がりは見つかっていない。しかし、特定の被害者が両方の攻撃を受けたことから、情報に商品価値があるため、複数の攻撃者から狙われているとカスペルスキーは分析している。