ステガノグラフィを利用する不正プログラム、米国の医療関連企業を中心に感染を確認

2015年6月、ステガノグラフィを利用する「Stegoloader」と呼ばれる不正プログラムの感染が、北米の医療関連企業を中心に確認されたことが報告されました。2012年から活動が確認される「TROJ_GATAK」として知られるこの不正プログラムは、ステガノグラフィの手法を用いて画像ファイル(拡張子 PNG)にコンポーネントを隠ぺいします。

「ステガノグラフィ」とは、検出や解析を回避するために、ある情報を他の情報の中に埋め込んで存在を隠ぺいする手法です。なお、トレンドマイクロでは、今年5月にステガノグラフィに関する記事を公開しています(123)。

弊社が、「Stegoloader」による最近の感染状況を調査したところ、過去 3カ月間に感染した PC の大半は米国(66.82%)で、チリ(9.10%)、マレーシア(3.32%)、ノルウェー(2.09%)、フランス(1.71%)と続きます。

また、同期間に最も影響を受けた産業は、医療、金融、製造の順となっています。

図1:過去 3カ月に「TROJ_GATAK」の影響を受けた産業別割合
図1:過去 3カ月に「TROJ_GATAK」の影響を受けた産業別割合

この不正プログラムの影響を受けた医療関連企業が、すべて北米地域にあることは特筆すべきでしょう。弊社では現在、サイバー犯罪者がこの不正プログラムを利用してどのように企業を攻撃したかを調査していますが、具体的な証拠は確認されていません。

最近でも、「Anthem」や「Premera Blue Cross」といった米国の医療関連企業で、何百万という顧客ファイルが流出する事例が起きています。ステガノグラフィはこうした攻撃ではまだ確認されていませんが、将来的に、医療産業への攻撃を画策するサイバー犯罪者が、診療記録を流出させるためにステガノグラフィを新しい手法にする可能性が考えられます。

■ステガノグラフィを利用して不正なファイルを画像に隠ぺい
ステガノグラフィと不正プログラムに関する記事で、弊社は、検出回避のために画像ファイルに不正なコードを隠ぺいする手法が、特に不正プログラムの研究に熱心なサイバー犯罪者グループの間でさらに活用されるようになるだろうと述べました。

今回、「TROJ_GATAK」が再び利用され、特定の地域と産業を明確に狙っていたことは、サイバー犯罪者が、脅威を拡散するために、創意工夫を凝らしてステガノグラフィを実験的に利用し続けていることを示します。弊社がこの不正プログラムを初めて取り上げたのは 2014年1月です。「TROJ_GATAK.FCK」は、さまざまなアプリケーションのキージェネレータと共に PC に侵入し、最終的な不正活動を実行する不正プログラムは「FAKEAV」でした。

最近確認された検体の最終的な不正活動を実行する不正プログラムは、現在解析中です(「TROJ_GATAK.SMJV」、「TROJ_GATAK.SMN」、「TROJ_GATAK.SMP」)。しかし、「TROJ_GATAK」の亜種の不正活動は以前と同様です。キージェネレータだと信じたユーザがインターネット上から不正プログラムをダウンロードし、ダウンロードされた不正プログラムは、Skype や Google Talk に関連する正規のファイルを装います。最後に、不正プログラムは不正活動の大部分を埋め込んだ画像をダウンロードします。

図2 は、この不正プログラムが不正なコンポーネントを埋め込むために利用した画像の例です。

図2:「TROJ_GATAK」がダウンロードする画像の例
図2:「TROJ_GATAK」がダウンロードする画像の例

この不正プログラムは、仮想マシンやエミュレータを回避する機能を備えており、解析を回避することができます。

ステガノグラフィを利用したこれまでの攻撃では、ネットバンキングの口座を狙って、夕日や猫といった魅力的であるものの被害を及ぼすと考えられる画像が利用されました。画像の利用はかなり古い手法ですが、検出回避に有効です。それがサイバー犯罪者に利用され続ける強い動機となっています。

今回の不正プログラムに関連した SHA1ハッシュ値は以下のとおりです。

TROJ_GATAK.SMJV

  • bce6a9368f7b90caae295f1a3f4d3b55198be2e2
  • b8db99cf9c646bad027b34a66bb74b8b0bee295a
  • d5d0a9ecf1601e9e50eef6b2ad25c57b56419cd1

TROJ_GATAK.SMN

  • 2d979739fbf4253c601aed4c92f6872885f73f77
  • 11f25bee63a5493f5364e9578fa8db9ed4c4b9c9

ステガノグラフィの詳細は、以下の記事をご参照下さい。

  • 不正プログラムに利用されるステガノグラフィ:その目的と手法
    /archives/11419
  • 不正プログラムの検出回避手法:不正コードや通信を隠ぺいする「ステガノグラフィ」事例を解説
    /archives/11456
  • ステガノグラフィ:最近の事例から今後への影響を考察する
    /archives/11484

参考記事:

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)