検索:
ホーム   »   サイバー攻撃   »   サイバー攻撃「Arid Viper作戦」、攻撃は進行中。新たな展開も

サイバー攻撃「Arid Viper作戦」、攻撃は進行中。新たな展開も

  • 投稿日:2015年2月26日
  • 脅威カテゴリ:サイバー攻撃, TrendLabs Report
  • 執筆:Trend Micro
0

トレンドマイクロは、2015年2月15日(米国時間)、イスラエルを標的にした攻撃キャンペーン「Arid Viper作戦」に関するリサーチペーパー(英語情報)を公開しました。弊社は、本ペーパー上で関連する 2つの攻撃キャンペーンに関する詳細を述べましたが、ここでもう一度要点をまとめてみます。

  • 「Arid Viper作戦」を実行したパレスチナのサイバー犯罪者集団が、2013年半ば以降、イスラエル政府をはじめとした有力な機関や企業から情報を送出していました。この攻撃は現在も進行中で、イスラエルとパレスチナの政治的緊張の高まりと同時に発生しています。
  • 「Arid Viper作戦」で利用されたドイツに置かれたサーバを調査したところ、あまり技術的な専門知識を持たないエジプトのサイバー犯罪者集団「Advtravel」が、エジプトに住むユーザに対して目的の薄い攻撃を実行していたことが判明しました。
  • この 2つのサイバー犯罪者集団には強いアラブの関連性があり、サーバおよびサイト登録者が同じであることから、包括的な組織もしくはフォーラム、または強力な出資者が存在し、これらのサイバー犯罪者集団が目的を実行するために資金提供していると考えられています。

弊社では、リサーチペーパー公開後も調査を続けていましたが、数多くの展開がありました。

  • リサーチペーパー公開後、他のホスティングプロバイダに移したコマンド&コントロール(C&C)サーバのドメインはなく、また大きな変更もありません。弊社では新たにコンパイルされた検体が拡散されるのを確認していませんが、2月15日と19日に、「Arid Viper」に関連するコンパイルされたバイナリが 2つ確認され、それぞれイスラエルおよびクウェートの標的を狙っていました。なお、弊社のリサーチペーパーは 15日に公開されています。
  • 興味深いことに、リサーチペーパーで C&Cサーバとの関連を指摘された人物の多くは、リサーチペーパー公開後に公開している名前を変更しました。これまでのところ、弊社に連絡し、リサーチペーパーで述べられた詳細に関して異議を述べた人物はいません。
    • リサーチペーパーで述べた Fathy Mostafa氏の Facebookページはすでに使われていません。
    • Ebrahim Said El-Sharawy(別名:Dev_Hima)氏と関連のある大量のアカウントは、変更もしくは削除されました。これまでの調査では、Blogspot、Facebook、Twitter および Hacker.org のアカウントはすでに使われていません。リサーチペーパーで、Dev_Hima氏の主要なWebサイト「http://devhima.webs.com」に 2つの不審なツールがホストされていることを述べましたが、すべてのコンテンツは削除され、「Closed by DevHima」というメッセージに置き換えられています。

    図1:Dev_Hima氏の Webサイト
    図1:Dev_Hima氏の Webサイト

  • LinkedIn、SoundHound、YouTube といった Dev_Hima氏のその他のアカウントは、現時点でまだ利用されています。なお、YouTube に関しては、Gmail の個人アカウントを削除しない限り、消去するのは困難です。
  • さらに調査を進めたところ、C&Cサーバ(pstcmedia[dot]com)のドメイン登録で利用された Eメールアドレスは、ホスティングプロバイダに所属するものであり、顧客の代理としてドメインを登録していたことが判明しました。このため、Eメールアドレスの所持者への言及をリサーチペーパーから削除し、この Eメールアドレスが Webサイト登録に利用されたことを記述するだけに留めました。

トレンドマイクロでは、今後も数カ月間、この攻撃キャンペーンについて引き続き調査を進め、新しい展開があれば追ってご報告します。

参考記事:

  • 「Arid Viper Update: Attacks Ongoing, Threat Actors on the Move」
    by Trend Micro

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

Related posts:

  1. 脅威予測-2014年とその後:「すべてをつなぐインターネット(IoE)」は攻撃対象となるか
  2. 北朝鮮通信社のWebサイトを介して拡散するファイル感染型ウイルスを解析
  3. 諜報活動を目的とする「Pawn Storm 作戦」に不正なiOSアプリを確認
  4. 昨年確認されたPOSマルウェアにデジタル署名、標的型サイバー攻撃と関連


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.