前回、サイバー犯罪集団「Lurk(ラーク)」が利用する痕跡を残さない手法、2011年から2014年までの活動について報告しました。今回、2014年から関係者50人が逮捕され活動停止するまでの2016年の活動、そして、こうした脅威の被害に遭わないため対策などについて報告します。
- 痕跡を残さない不正活動。検出回避して攻撃対象かどうかを確認
- 2011年から 2012年初期:Lurk、活動を開始
- 2012年中頃から 2014年中頃:マルウェアの向上、組織化した犯罪集団に
第2回 攻撃の拡大と組織の消滅:
- 2014年から 2016年:不正活動を世界に拡大
- 2016年:Lurk の消滅
- 被害に遭わないために
■2014年から 2016年:不正活動を世界に拡大
2014年は Lurk の歴史において重要な年となりました。多くの大手 Webサイトや媒介がいつでも利用できる状態にしておき、標的とするユーザPC への侵入に備えていました。このサイバー犯罪集団は勢いに乗っていました。利益を増やすために世界進出しない手はない、と考えたのも不思議ではないでしょう。
この期間に Lurk のために利用されたドメインのほとんどは、サードパーティの再販業者から購入され、ロシアで利用可能なインターネット決済「WebMoney」など匿名の支払い方法によって支払われました。トレンドマイクロが確認した活動は、ロシアと CIS 以外のバナーネットワークでの不正なインジェクションの予行演習であったことを暗示しています。2014年4月には、Lurk が「mail[.]ru」経由で誘導していることが確認され、恐らくこれは広告配信サーバのコンテンツへ埋め込むことによって実行されたと考えられます。2014年6月から 9月にかけて、Lurk が利用するランディングページから、彼らがインフラを移行し、世界規模の不正活に取り掛かったことを示唆していました。
2014年後半には、Lurk による拡散地域が劇的に変化しました。ロシアおよび CIS への攻撃は希薄となり、「.ru」ドメインの感染ユーザは手動で確認されるようになりました。その後、Lurk で利用される URL に新しいパターンが確認されました。それは、世界中を攻撃対象とするため IPアドレスの所在地について事前の選別をせず、また、24時間活動を実行するものでした。
Lurk は、2011年から 2012年、Java の脆弱性を利用するエクスプロイトコードを好んで利用し、Adobe Flash ファイル(拡張子「.swf」)のコンテンツが導入されました。脆弱性「CVE-2013-5330」を利用する、難読化された Flashファイルが 2014年12月に確認されました。これは、対象ユーザの送信元IPアドレスおよび時刻が Lurk のパラメータに合致する場合にのみ拡散され、それ以外の場合は 404エラーの応答を返していました。
上述のように、Lurk が利用していた XXX EK は、いくつかの URL提供のパターンと、ファイルを利用しない拡散手法の機能を備えており、この機能は後に Angler EK にも確認されています。2015年初期までに、Lurk と Angler EK の活動の境界線がぼやけ始め、脆弱性を悪用する手法や拡散量などにおいて、多くが重複していました。Lurk と Angler EK は同じサービスプロバイダでホストされていることが多く、ホストの IPアドレスによる関連付けはあまり役に立ちませんでした。また、Lurk は、動的に生成されたドメイン名をランディングページに採用しました。
■2016年:Lurk の消滅
金融機関が大胆に攻撃されたことから、度重なる調査が行われることになり、2016年6月、Lurk の活動に関与するロシア全土に散らばる 50人以上のサイバー犯罪者の逮捕へとつながりました。逮捕の波及効果により、他のサイバー犯罪グループも、年末まで活動をしばらく控えたようです。「Neutrino EK」と「Magnitude EK」のような他のエクスプロイトキットは、活動終了か、もしくは「Private Mode」での稼働、つまり特定の攻撃者のみ利用可能な状態に限定されました。それまでに、「Angler EK」はすでに活動を停止しました。偶然と見るよりは、「Angler EK」と「XXX EK」の拡散する URLパターン、マルウェア拡散の手法(特にファイルを利用しない不正コードの拡散)、および共有インフラの類似点から、両者には関連があると推測できます。
ある意味で、Lurk の興亡は脅威の「進化」を反映しています。トレンドマイクロは、従来のセキュリティシステムを回避するため、これまでにない斬新な手法がさらに改良されることを予測しています。しかも、そのようなマルウェアが販売されることにより、他のサイバー犯罪者も利用することが可能になるため事態は悪化するでしょう。残念ながら、Lurkの事例は、企業や個人ユーザから金銭を得ようとする多くのサイバー犯罪グループのほんの一例です。
■被害に遭わないために
Lurk の事例は、特定の対象に的を絞って巻き上げようとするサイバー犯罪者の姿勢を実証しています。利益のために情報収集をする、認証情報を窃取する、銀行口座から金銭を窃取する、また、人々に間違った情報を宣伝するなど、サイバー犯罪者は従来のセキュリティ対策では追いつくことのできない攻撃を着実に開発しています。
これらの脅威は、企業組織の周辺の保護について、セキュリティおよびIT管理者に大きな課題を与えます。セキュリティを念頭に置いた習慣を身につけるとともに多層防御が効果的です。最新の更新プログラムを適用し、マルウェアを拡散する Webサイトをブロックし、URL選別を実行し、ファイアウォールおよび IDS を導入し、職場環境でのセキュリティに対する認識を育成しましょう。深層防御もまた考慮すべきです。これらの脅威に対処できる単一のネットワーク防御ツールは存在しません。
エンドユーザのPC は、攻撃者にとって、侵入するための「玄関」としての役割を果たします。そのため、ユーザPC のセキュリティを強化することが重要です。そのためには、不審なアプリケーションやプロセスをホワイトリスト化して監視する、あるいは管理者権限の原則の適用を最小にするなどが含まれます。不審なコンポーネントと情報のやりとりをする可能性のある、拡張機能やプラグインなどのソフトウェアパッケージの形で感染する恐れがあるため、攻撃され得る面も最小にする必要があります。使用していないブラウザプラグインや機能はチェックを行ない、サードパーティによるコードの実行を可能にする機能は無効にしてください。Lurk の事例では、サイバー犯罪グループは、Webブラウザ用の Flash と Java のプラグインに存在する脆弱性を悪用していたことが確認されています。
攻撃を緩和するためには、組織の内部ネットワークへ直接アクセスする機能を無効にする必要があり、また、ユーザが外部ネットワークのリソースにアクセスするときには、アプリケーションプロキシを使用してください。特に、サイバー犯罪者が頻繁に攻撃に利用する、HTTP および HTTPSプロトコルには適用を強化するべきです。URL とMIMEタイプのような URLのコンテンツは厳しく調査する必要があります。同様に、実行可能ファイルは十分に確認しましょう。特に、未知のソースからダウンロードされたファイルの場合は疑ってかかるべきです。
ネットワークで不審な活動が確認された場合、あるいは無害に見える活動でも、継続的に監視することは、ネットワークへの侵入の検出に役立ちます。例えば、組織のネットワーク内で、以前には見られなかったドメイン名を解決して接続しようとする PC の数が急に増えた場合、ネットワークへの侵入や感染の兆候である可能性があります。ネットワーク検出およびエンドポイントセキュリティシステムは、攻撃を受けた場合あるいは攻撃が失敗していても、システム管理者に通知し、痕跡を提出することができます。
ユーザは、遅れずにアップデートする必要があります。定期的にシステムを更新してください。そして、不審なメール、なりすましメールや Webサイトに組み込まれたリンクに注意してください。
■トレンドマイクロの対策
「Trend Micro Deep Security™」および「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」は、仮想パッチによって、ファイルを利用しない感染やセキュリティパッチ未適用の脆弱性を利用する脅威からエンドポイントを保護します。
トレンドマイクロ製品をご利用のユーザは、この脅威から守られています。弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」のサンドボックスや「Script Analyzer」エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。
侵入の痕跡(Indicators of Compromise、IOC)については、こちらを参照してください。
参考記事:
- 「Lurk: Retracing the Group’s Five-Year Campaign」
by Fyodor Yarochkin and Vladimir Kropotov (Senior Threat Researchers)
翻訳:室賀 美和、編集:船越 麻衣子(Core Technology Marketing, TrendLabs)