/

カスペルスキー、データを破壊する新しいマルウェア「StoneDrill」を発見

発表日:2017年3月10日

Kaspersky Lab、データを破壊する新しいマルウェア「StoneDrill」を発見

~悪名高いワイパー型マルウェア「Shamoon」に類似した新たなマルウェアが中東や欧州の組織を標的に~

[本リリースは、2017年3月6日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム(GReAT)(※1)は、データを破壊するワイパー型マルウェア「StoneDrill」を新たに発見しました。悪名高い同型の「Shamoon」と同じく、感染したコンピューター内のあらゆるデータを破壊します。高度な検知回避技術やスパイツールも備えているStoneDrillは、中東と欧州でそれぞれ1つの組織が標的として確認されました。中東で使用されたこのマルウェアは、これまで実環境では見つかっていませんでした。

Shamoon(別名「Disttrack」)は、2012年に中東の石油会社のコンピューター約35,000台をダウンさせた壊滅的な攻撃により、世界の石油供給の10%が危機にさらされる恐れと共に、大きな話題となりました。この1回限りの攻撃の後、Shamoonは姿を消していましたが、2016年後半に機能のアップデートや追加が施されたShamoon 2.0として現れ、悪意ある破壊活動を広範囲にわたって展開しました。

<Shamoon>

https://securelist.com/?s=shamoon

Kaspersky LabのエキスパートがShamoon 2.0の攻撃を調査していた際に、同様のスタイルで作成されたマルウェアを偶然発見しました。これはShamoonよりさらに高度な機能を備えており、エキスパートはStoneDrillと名付けました。

■StoneDrill - つながりを持つワイパー

StoneDrillの拡散方法はまだ判明していませんが、標的のコンピューターに侵入すると、ユーザーがよく使うブラウザーのメモリプロセスに自分自身をインジェクトします。このプロセスでセキュリティ製品を欺くために、2つの高度なエミュレーターへの対抗技術を使用します。その後コンピューターのディスクを破壊し始めます。

これまでに、中東と欧州の少なくとも2つの組織がStoneDrillの標的になっていることが確認されています。Kaspersky LabのエキスパートはStoneDrillのバックドアも発見しました。同じコード作成者によって開発され、スパイ目的に利用されているものとみています。エキスパートは4つの指令サーバー上のコントロールパネルも発見しており、攻撃者はこれらのパネルとStoneDrillバックドアを使用して、標的に対しスパイ活動を実行していましたが、標的の正確な数はまだ判明していません。

StoneDrillに関して最も興味深いのは、これまでに確認された他の複数のワイパー型マルウェアやスパイ活動とつながりがあると思われる点です。Shamoonの未知のサンプルを特定するために作成したYARAルール(※2)を使ってStoneDrillを発見したとき、エキスパートは自分たちが調べているものがShamoonとは別に作成されたとみられる珍しいマルウェアコードだということに気づきました。ShamoonとStoneDrillという2つのファミリーは、コードベースがまったくの同一ではありませんが、作成者の考え方とプログラミングのスタイルには類似点が見られるため、Shamoon向けに開発したYARAルールによってStoneDrillを発見することができました。

StoneDrillはShamoonだけではなく、さらに古い「NewsBeef APT」で発見されたマルウェアのコードの一部を使用していることも確認されました。NewsBeef APTは「Charming Kitten」の別名でも知られており、過去5年間にわたって悪意ある活動を展開してきました。

<NewsBeef APT>

https://securelist.com/blog/software/74503/freezer-paper-around-free-meat/

Kaspersky Labのグローバル調査分析チームのシニアセキュリティリサーチャー、モハメド・アミン・ハスビニ(Mohamad Amin Hasbini)は次のように述べています。「StoneDrill、Shamoon、NewsBeef、これら3つの悪意ある活動の共通点や類似点に大きな関心を持っています。StoneDrillもShamoonグループが開発したワイパー型マルウェアだったのか、あるいはつながりのない別のグループで、同じ時期に偶然中東の組織を狙っただけなのか、それとも、別グループでも目的は同じなのか。おそらく、最も可能性が高いのは最後の説でしょう。Shamoonの中にアラビア語(イエメン)が発見されたのに対し、StoneDrillからはペルシャ語が発見されました。おそらく地政学の専門家であれば、イランとイエメンの両方がイランとサウジアラビアの代理戦争における交戦国であるとすぐに指摘することでしょう。また、これらの活動の標的のほとんどは、サウジアラビアで見つかっています。しかしもちろん、こうした活動が偽旗作戦である可能性も残っています」

詳しくはSecurelistブログ「From Shamoon to StoneDrill」(英語)をご覧ください。

<From Shamoon to StoneDrill>

https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/

カスペルスキー製品は、Shamoon、StoneDrill、NewsBeefに関連するマルウェアを検知・ブロックします。

※1 Global Research and Analysis Team(GReAT、グレート)

 GReATはKaspersky Labの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

※2 YARAは、悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツールです。YARAルールを利用することで、関連するマルウェアサンプルの発見、グループ化や分類によって繋がりを導き出すことができます。マルウェアファミリーの確立、ほかの方法では気づけない可能性のある攻撃グループを発見できます。

■Kaspersky Lab について

Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。

すべての記事が読み放題
有料会員が初回1カ月無料

産業で絞り込む
  • すべて
  • 情報・通信
  • メディア
  • 電機
  • 金融・保険
  • 自動車
  • 輸送・レジャー
  • 食品
  • 流通・外食
  • 日用品
  • 医薬・医療
  • 建設・不動産
  • 機械
  • 素材・エネルギー
  • 商社・サービス
  • すべて
  • 情報・通信
  • メディア
  • 電機
  • 金融・保険
  • 自動車
  • 輸送・レジャー
  • 食品
  • 流通・外食
  • 日用品
  • 医薬・医療
  • 建設・不動産
  • 機械
  • 素材・エネルギー
  • 商社・サービス

セレクション

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン