「Flame」に類似した「Mini Flame」を確認:標的型攻撃に利用か

「Mini Flame」(「BKDR_FLAMER.SMA」として検出)が、情報収集機能を備えた最新ツールとして現在の脅威状況に出現しました。しかし、綿密な解析結果から、「BKDR_FLAMER.SMA」は、「PlugX」や「PoisonIvy」といった他の不正ツールと大きな違いがないことが判明しています。

この新しいツールは、情報収集機能を備えた不正プログラムである「Flame」と類似していることから、「Mini Flame」と名付けられています。Flame は、悪名高い「STUXNET(スタクスネット)」と関連しているため、2012年現在、話題となっており、また自身の情報収集の技術でも注目されています。

解析の結果、「BKDR_FLAMER.SMA」は、バックドア機能を備える他の不正プログラムと同様に特定のサーバに接続し、不正リモートユーザと通信します。このバックドア型不正プログラムは、特にファイルのダウンロードやアップロード、プロセスの追加、そしてスリープコマンドの起動を含む不正なコマンドの実行といった機能を備えています。

しかし、これらの機能は、以前から報告されている PlugX およびその前身である PoisonIvy と大きな違いはありません。PlugX は、2008年初期から仕掛けられている PoisonIvy のキャンペーンの背後にいる攻撃者が利用する最新の「Remote Access Tool(RAT)」です。PlugX の特筆すべき特徴は、バックドア活動の機能です。これにより、攻撃者が遠隔操作でファイルの複製、削除およびファイル名の変更、またスクリーンショットや動画の取得が実行されます。また、PlugX は、デバッグのログファイルを作成します。そして、このログファイルにエラーコードを記録しておき、攻撃者がバージョンを更新する際に利用します。

Mini Flame は、深刻なセキュリティ被害を及ぼす可能性があるものの、一般のユーザへの影響はほとんどありません。「Trendlabs(トレンドラボ)」の調査結果およびメディアの報告では、Mini Flame は、極めて特化した攻撃であることが伺えます。トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、この脅威に関連する不正なファイルを検出および削除します。

  • セキュリティブログ:
     ・情報収集を目的とする「Flame」 イランや中東諸国を標的に
      /archives/5297
     ・更新情報:情報収集を目的とする「Flame」について
      /archives/5306
  • 参考記事:

  • Mini Flame Ignites a Flicker but Is No Wildfire
     by Gelo Abendan (Technical Communications)
  •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)