1.カレット/「マスク」とは?
「ザ・マスク」は2007年、あるいはそれ以前から始まっている可能性のあるサイバースパイ活動です。
The mask」のユニークな魅力は、攻撃者が使用するツールセットの複雑さです。このツールセットには、非常に洗練されたマルウェア攻撃者、ルートキット、ブートキット、Mac OS XとLinux用のバージョン、そしておそらくAndroidとiPad/iPhone(iOS)が含まれています。
「この特定の攻撃モジュールは、旧式の Kaspersky Lab 製品をターゲットとして設計されており、Duqu トロイの木馬よりもさらに巧妙です。The mask」は、現在利用可能な脅威の中で最も高度なものの1つです。この他にも多くの要因があることから、これは国家がスポンサーとなった作戦であった可能性があります。
2.なぜ「マスク」と呼ばれるのですか?
The mask "という名前は、研究者がウイルス・モジュールの中で見つけた文字列であるスペインの俗語 "Careto "に由来しています。
3.被害者は?/攻撃目標は?
カレトの主な目的は以下のカテゴリーに分類されます。
-政府機関
-外交官事務所および大使館
-エネルギー、石油、ガス会社
-研究機関
-プライベート・エクイティ・ファーム
-社会活動家
4.現在、被害者の総数は判明していますか?
正確な被害者数は不明ですが、アルジェリア、アルゼンチン、ベルギー、ボリビア、ブラジル、日本、コロンビア、コスタリカ、キューバ、エジプト、フランス、ドイツ、ジブラルタル、グアテマラ、イラン、イラク、リビア、マレーシア、メキシコ、モロッコ、ノルウェー、パキスタン、ポーランド、南アフリカ、スペイン、スイス、チュニジア、トルコ、英国、米国、ベネズエラを含む31カ国で1,000以上のIPアドレスが感染していることが確認されています。メキシコ、モロッコ、ノルウェー、パキスタン、ポーランド、南アフリカ、スペイン、スイス、チュニジア、トルコ、英国、米国、ベネズエラ。
Kaspersky Labが開発した識別アルゴリズムに基づき、被害者数は380人以上と推定されました。
しかし、これらの被害者に関する情報は、わずかなC&Cサーバーと記録されたホストに基づいて収集されたものであることを考慮すると、被害を受けた可能性のある国や被害者の本当の総数は、はるかに多くなります。
5.Caretoは何をしますか?対象マシンが感染するとどうなりますか?
被害者にとって、Careto に感染する危険性は壊滅的です。このマルウェアはすべての通信チャネルを傍受し、感染したシステムから最も重要な情報を収集することができます。ステルス性のルートキット機能を備えているため、検出は非常に困難です。内蔵機能に加えて、Caretoはあらゆる悪意のあるタスクを実行できる他のモジュールをアップロードすることができます。既知の被害者の性質を考慮すると、Caretoの影響は非常に大きい可能性があります。
6.Caretoはどのようにしてコンピュータに感染するのですか?
The mask」キャンペーンは、悪意のあるウェブサイトへのリンクを含むフィッシングメールに大きく依存していることが判明しました。設計された悪意のあるウェブサイトには、悪用可能な脆弱性が多数含まれており、システム構成によっては、多くの訪問者を感染させる可能性があります。感染に成功すると、悪意のあるウェブサイトは、YouTubeの動画やニュースポータルなど、メール内で参照されている良性のウェブサイトにユーザーをリダイレクトします。
悪用可能な脆弱性を含むこれらのサイトは、訪問者を自動的に感染させるのではなく、攻撃者のホストサイト上の悪用可能な脆弱性は特定のフォルダに保存され、悪意のある電子メール以外には直接関連付けられないことに注意することが重要です。攻撃者は、悪意のあるサイトにサブドメインを使用し、より合法的に見せかけることがあります。これらのサブドメインは、主にスペインの主要新聞や国際的に有名な新聞を模倣したものです。
7.攻撃者はゼロデイ脆弱性を悪用しますか?
これまでのところ、"Themask "攻撃は、Adobe FlashPlayer(主にFlash Playerのバージョン10.3および11.2を対象)の少なくとも1つの悪用可能な脆弱性を含む、複数の攻撃手法を使用していることが確認されています。
"cve - 2012 - 0773 "は元々VUPENハッカーグループによって発見されたもので、2012年にカナダのCansecWestで開催されたPwn20wnハッカーカンファレンスでVUPENハッカーグループによって初めて悪用されたという興味深い話があります。VUPENハッカーグループは、2012年にカナダのCansecWestで開催されたPwn20wnハッカーカンファレンスで初めてGoogleのChromeブラウザに侵入し、セキュリティバイパスの脆弱性と悪用可能なメモリ解放の脆弱性を発見しました。この悪用可能な脆弱性は、VUPENチームがサンドボックスから脱出した方法の開示を拒否し、悪用可能な脆弱性を顧客に販売する予定であると主張したため、大きな論争を引き起こしました。CaretoのオペレータがVUPENから脆弱性を購入した可能性があります。
その他の攻撃としては、JavaUpdate.jarファイルのダウンロードと実行、またはChromeプラグインのインストールをユーザーに要求するなどのソーシャルエンジニアリングが使用されています。他にも悪用可能な脆弱性が疑われていますが、研究者は攻撃サーバーから脆弱性を特定できていません。
8.これはウィンドウズだけの脅威ですか?どのWindowsバージョンがターゲットになっていますか?MacOS XやLinux用の亜種はありますか?
これまでのところ、このトロイの木馬はMicrosoft WindowsおよびMac OS xシステムに感染することが確認されています。エクスプロイトの一部には、Linuxコンピュータに感染するように設計されていると思われるサーバパスを使用したモジュールが含まれていることが確認されていますが、Linuxのバックドアは見つかっていません。さらに、C&Cサーバからのログは、AndroidおよびApple iOS用のバックドアが存在する可能性を示しています。
9、iOS、アンドロイド、ブラックベリーなどのモバイルコンポーネントの証拠はありますか?
iOSのバックドアが疑われましたが、発見されませんでした。この疑いは、Argentinaと特定された被害者を示すサーバーのデバッグログに基づくもので、ユーザーのプロキシ情報が「Mozilla/5.0(iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 Mobile/10B329」と記録されています。これは、決定的な例はないものの、iPadであることを示しているようです。
さらに、Androidインプラントの存在も疑われています。これは、C&Cサーバーに送信された一意のバージョン識別子「AND1.0.0.0」に基づいています。この一意の識別子を使用した通信が3G接続で観測されていることから、モバイル端末の可能性があります。
10.他のAPT攻撃との違いは?
The mask」のユニークな魅力は、攻撃者が使用するツールセットの複雑さです。その武器庫には、非常に洗練されたマルウェア、ルートキット、ブートキット、MacおよびLinuxバージョン、そしておそらくAndroidおよびiPad/iPhone(Apple iOS)バージョンが含まれています。
同時に、"The mask" はステルス性を高めるためにカスタマイズされた攻撃を使用します。 この特定の攻撃モジュールは、旧式の Kaspersky Lab 製品をターゲットとして設計されており、Duqu トロイの木馬よりもさらに巧妙であるため、"The mask" は現在利用可能な最も高度な脅威の 1 つとなっています。現在利用可能な最も高度な脅威の1つです。この他にも多くの要因があることから、これは国家が支援した作戦であった可能性があります。
11.脅威はどのように認識されましたか?誰が報告しましたか?
Caretoが最初に発見されたのは、カスペルスキーのセキュリティ製品の脆弱性を悪用してシステムに侵入しようとするマルウェアが観測されたことでした。この手口への関心が高まり、研究チームはさらに調査を進めることにしました。つまり、Kaspersky Labの製品に対する攻撃者の攻撃が注目を集めることに成功したからです。
この製品の脆弱性は5年前に発見され、パッチが適用されていますが、ユーザーが製品をアップデートしなければ、マルウェアを削除し、システムをクリーンアップしても、依然として悪用される可能性があります。
12.カレットには複数のバリエーションがありますか?それぞれの主な違いは何ですか?
Caretoは高度にモジュール化されたシステムで、プラグインや設定ファイルをサポートすることができます。
ほとんどのモジュールは2012年に作成されましたが、Caretoは2007年以来、さまざまなコンパイルで利用可能です。
13.CaretoのC&Cサーバーはまだ有効ですか?C&Cサーバーを手に入れることは可能ですか?
14.攻撃者が窃取の対象とする情報は何ですか?
このマルウェアは、感染したシステムから、暗号化キー、VPN設定、SSHキー、RDPファイルなど、多数のドキュメントを収集し、また、カスタマイズされた軍事/国家レベルの暗号化ツールに関連する可能性のある、未知の機能を持つ複数の拡張モジュールを監視します。
分析したCaretoコレクションファイル形式の全リストは以下の通りです。
* .akf、* .asc、* .axx * .cfd、* .cfe、* .crt、* . doc、* docx、* .EML、* .ENC、* .GMG、* .GPG、* .HSE、* .KEY、.
* .M15,* .M2F,* .M2O * .M2R,* .MLS,* .OCFS,* .OCU,* .ods,* .ODT,* .OVPN,* .P7C,* .P7M,* .P7Z,* .PAB,* . PAB、* .pdf、.
* .pgp,* .pkr,* .ppk * .psw,* .pxl,* .rdp,* . rtf,* .SDC,* .SDW,* .SKR,* . ssh、* .SXC、* .SXW、* .VSD、.
* .WAB,* .WPD,* .WPS * .WRD,* xls,* .XLSX
15.これは政府による攻撃ですか?
「このマスクは、古い Kaspersky Lab 製品に対してカスタマイズされた攻撃を使用し、ステルス性を効果的に高めています。さらに、ルートキット、ブートキット、Linux/Mac バージョン、そしておそらく iOS バージョンも含まれています。Duqu トロイの木馬を超える洗練された「The mask」は、現在の技術水準からすると非常に高度なものです。
さらに、攻撃者のインフラを効果的に監視する能力、オペレーションを停止する能力、システムへのアクセス制限を巧みに突破する能力、ログファイルを削除するのではなくワイプする能力など、攻撃の背後に高い専門性があることが観察されました。このレベルのセキュリティは、一般的なサイバー犯罪組織では達成できません。
このような状況や他の多くの要因を考慮すると、これは国家主導の活動である可能性があります。
16.この攻撃の犯人は誰ですか?
ソースを追跡するのは難しい作業です。インターネットはオープンで不安定な性質を持っているため、ソースを特定することは非常に困難です。
スペイン語はラテンアメリカ、メキシコ、アメリカなど多くの国で話されているため、スペイン語の使用といった手がかりは証拠としては弱い。
また、確たる証拠がない以上、その言葉が単なる目隠しである可能性も否定できません。
17.攻撃者の活動期間は?
18.攻撃者は何か興味深い/高度なテクニックを使いましたか?
また、このエクスプロイトは、Mac OS XやLinuxを含むすべての潜在的なターゲットシステムをカバーしています。 同様に、異なるシェルコード・モジュールは、かなり珍しい方法であるCOOKIESを使用して互いに通信します。
19.Kaspersky Labはこのマルウェアのすべての亜種を検出できますか?
はい。この製品は、攻撃者が使用する既知のすべてのバージョンのマルウェアを検出し、削除します。名前は次のように識別します。
Trojan.Win32 / Win64.Careto.*.
トロイの木馬 OSX.Careto
20.被害者が侵入を特定するのに役立つプロトコル指標はありますか?
IOC(国際標準化機構)関連の情報も含まれていますので、ご興味のある方は以下のリンクをクリックしてレポート全文をお読みください。
