カスペルスキーは、世界的なサイバースパイ活動で知られる「Operation NetTraveler」ついて、今年に入って新しい暗号化方式のNetTravelerバックドアを利用した攻撃の増加を確認し、新たに8台のC&C サーバーを発見したことを報告している。

昨年報告されたマルウェア「NetTraveler」はAPT攻撃に使用されるマルウェアファミリーで、40カ国、350件の被害を出し、政府系機関、研究施設や活動家を標的としている。

今回新たに発見された攻撃は、ウイグルとチベットの活動家を標的としたもので、添付されたDOCファイルにCVE-2012-0158のエクスプロイトが含まれている。これにより、ぜい弱なバージョンのMicrosoft Officeで開くと、CVE-2012-0158のエクスプロイトによってTrojan-Dropperが実行され、最終的にはメインモジュールのTrojan-Spyに感染する。

攻撃に成功するとDOC/XLS/PPT/RTF/PDF などの一般的な形式のファイルを盗み出す。同社ではこのファイルがMicrosoft Officeの簡体字中国語バージョンを使用するシステムで作成されたことを確認している。

また、新たに発見されたコマンド&コントロール(C&C)サーバーのうち、7台はShanghai Meicheng Technologyによって登録されており、IPは香港。残り1台はTodaynic.com Incによって登録され、IPは米国となっていた。

同社グローバル調査分析チームののプリンシパルセキュリティリサーチャー コート・バウムガートナー氏はこれについて「調査の結果、NetTravelerのC&Cサーバーには22GB以上の盗まれたデータが保存されていると推計しています。活動家に対する最新の攻撃から考えると、さらに10年にわたって同様の活動が続く可能性があります。NetTravelerの例は、脅威が長期間姿を隠し続ける可能性を示しています」とコメントしている。

同社ではNetTravelerマルウェアを防ぐために下記の対策を挙げている。

  • Securelist.comのブログで列挙している悪質ホストをファイアウォールでブロックする

  • Microsoft WindowsとMicrosoft Officeを最新のバージョンに更新する

  • 特に、差出人不明のメールではリンクをクリックせず、また添付ファイルを開かない

  • Google Chromeなどの安全性の高いブラウザーを利用する