今回は、高度で執拗な脅威(APT)とされる「Mask」についてのブログから紹介しよう。ロシアのカスペルスキーラボが解説している。同社によると、Maskは少なくとも2007年からサイバースパイ活動に使われていたという。
複雑なツールキットを使っているのが特徴で、極めて高度な種類のマルウエア、ルートキット、ブートキットなどを備えている。Windowsのほか、Mac OS XおよびLinuxに対応し、おそらくAndroidやiOS向けコンポーネントも用意している。
Maskの被害件数の分布図
カスペルスキーラボの旧来の製品に対してはカスタムな手口を使って自身を隠蔽する。巧妙さでは「Duqu」マルウエアに勝っていると、カスペルスキーラボは評価している。
Maskという名前は、作成者がマルウエアモジュールの一部に残した「Careto」(スペイン語で「マスク」の意味)という言葉に由来している。
コード内にある「Careto」の文字列