トレンドマイクロは、2015年2月15日(米国時間)、イスラエルを標的にした攻撃キャンペーン「Arid Viper作戦」に関するリサーチペーパー(英語情報)を公開しました。弊社は、本ペーパー上で関連する 2つの攻撃キャンペーンに関する詳細を述べましたが、ここでもう一度要点をまとめてみます。
- 「Arid Viper作戦」を実行したパレスチナのサイバー犯罪者集団が、2013年半ば以降、イスラエル政府をはじめとした有力な機関や企業から情報を送出していました。この攻撃は現在も進行中で、イスラエルとパレスチナの政治的緊張の高まりと同時に発生しています。
- 「Arid Viper作戦」で利用されたドイツに置かれたサーバを調査したところ、あまり技術的な専門知識を持たないエジプトのサイバー犯罪者集団「Advtravel」が、エジプトに住むユーザに対して目的の薄い攻撃を実行していたことが判明しました。
- この 2つのサイバー犯罪者集団には強いアラブの関連性があり、サーバおよびサイト登録者が同じであることから、包括的な組織もしくはフォーラム、または強力な出資者が存在し、これらのサイバー犯罪者集団が目的を実行するために資金提供していると考えられています。
弊社では、リサーチペーパー公開後も調査を続けていましたが、数多くの展開がありました。
- リサーチペーパー公開後、他のホスティングプロバイダに移したコマンド&コントロール(C&C)サーバのドメインはなく、また大きな変更もありません。弊社では新たにコンパイルされた検体が拡散されるのを確認していませんが、2月15日と19日に、「Arid Viper」に関連するコンパイルされたバイナリが 2つ確認され、それぞれイスラエルおよびクウェートの標的を狙っていました。なお、弊社のリサーチペーパーは 15日に公開されています。
- 興味深いことに、リサーチペーパーで C&Cサーバとの関連を指摘された人物の多くは、リサーチペーパー公開後に公開している名前を変更しました。これまでのところ、弊社に連絡し、リサーチペーパーで述べられた詳細に関して異議を述べた人物はいません。
- リサーチペーパーで述べた Fathy Mostafa氏の Facebookページはすでに使われていません。
- Ebrahim Said El-Sharawy(別名:Dev_Hima)氏と関連のある大量のアカウントは、変更もしくは削除されました。これまでの調査では、Blogspot、Facebook、Twitter および Hacker.org のアカウントはすでに使われていません。リサーチペーパーで、Dev_Hima氏の主要なWebサイト「http://devhima.webs.com」に 2つの不審なツールがホストされていることを述べましたが、すべてのコンテンツは削除され、「Closed by DevHima」というメッセージに置き換えられています。
- LinkedIn、SoundHound、YouTube といった Dev_Hima氏のその他のアカウントは、現時点でまだ利用されています。なお、YouTube に関しては、Gmail の個人アカウントを削除しない限り、消去するのは困難です。
- さらに調査を進めたところ、C&Cサーバ(pstcmedia[dot]com)のドメイン登録で利用された Eメールアドレスは、ホスティングプロバイダに所属するものであり、顧客の代理としてドメインを登録していたことが判明しました。このため、Eメールアドレスの所持者への言及をリサーチペーパーから削除し、この Eメールアドレスが Webサイト登録に利用されたことを記述するだけに留めました。
図1:Dev_Hima氏の Webサイト
トレンドマイクロでは、今後も数カ月間、この攻撃キャンペーンについて引き続き調査を進め、新しい展開があれば追ってご報告します。
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)