今回は、アジアで広がっているリモートアクセス攻撃ツール(RAT)「RARSTONE」についてのブログから紹介しよう。トレンドマイクロが注意を呼びかけている。同社は2月にRARSTONEに関するブログ記事を掲載して以来、同RATを用いた攻撃に注意を向けてきたが、インド、マレーシア、シンガポール、ベトナムなど様々な国で電気通信事業、石油・ガス事業、政府機関、メディアなどを狙った攻撃が展開されているのを確認したという。
トレンドマイクロは、関連する攻撃に共通のユーザーエージェント文字列「NOKIAN95/WEB」から、一連の攻撃活動を「Naikon」と名付けている。
これらの攻撃は、標的にした組織にスピアフィッシングを仕掛けることで実行される。フィッシングメールにはアジア太平洋地域の外交協議に関するメッセージが使われる。不正なドキュメントが添付されており、Windowsのコモンコントロールに存在する古い脆弱性「CVE-2012-0158」を悪用する。この脆弱性は他の標的型攻撃でも使われており、直近では、複数の政府機関や報道機関などが標的にされた「Safe」攻撃でも使われた。
フィッシングメールの受信者がファイルを開くと、おとりのドキュメントがシステム上に作成される。犠牲者はそのドキュメントが開いた添付ファイルだと思い込むが、実際には、開いた添付ファイルはマルウエア「BKDR_RARSTONE」を作成する。BKDR_RARSTONEはバックドアコンポーネントをマルウエア制御(C&C)サーバーからダウンロードし、直接メモリーに読み込む。この行為は、一般的なファイルベースのスキャン技術による検出を困難にする。
RARSTONEを用いた攻撃の流れ
RARSTONEが「PlugX」のような他のRATと違うところは、アンインストールレジストリキーからインストーラーのプロパティーを取得できることだ。どのようなアプリケーションがシステムにインストールされているか確認し、もしそれらがRARSTONEの機能を妨げるものであれば、アンインストールする方法を理解する。またSSLを利用してC&Cサーバーとのやりとりを暗号化し、接続を保護するだけでなく、通常のトラフィックに紛れ込む。
Naikonの攻撃者は明らかに、セキュリティ研究者の調査を困難にしようとする意図があり、Naikon攻撃活動には、動的DNSドメインあるいはプライバシー保護されたレジストラが使われている。
このような標的型攻撃は通常、検出を回避して情報を盗み出すことを目的とした、より広範な攻撃の一部となっている。ブラックリスティングやペリメータ制御モデルといった従来の技術は、こうした攻撃活動のコンポーネントを検出、遮断するのに十分ではない。その代わり、企業は自社ネットワークにわたる可視性と管理をいっそう高め、不審なネットワークトラフィックを特定する必要があると、トレンドマイクロは指摘している。
