マルウェアはどれも有害ですが、中には他のマルウェアよりも陰険なものもあります。CosmicDukeもまさにその例です。F-Secureの新しいホワイトペーパーによると、CosmicDukeは、悪名高い2つのマルウェア脅威、MiniDukeとCosmuの要素を融合させ、強力な新たな攻撃を生み出しています。
MiniDuke は、2013 年初頭に発見された APT (高度持続的脅威) 型トロイの木馬です。NATO やヨーロッパのさまざまな政府機関に対する標的型攻撃に使用されました。
F-Secureのブログ投稿によると、研究者らは今年4月に、機密情報の窃取で知られるマルウェア「Cosmu」と同じコードを一部使用した亜種を発見しました。この脅威は、MiniDukeのローダーとCosmuのペイロードを組み合わせたもので、機密ログイン情報を窃取することを目的としたAPT型トロイの木馬であり、F-Secureはこれを「CosmicDuke」と名付けました。
F-Secure のホワイト ペーパーでは、CosmicDuke と呼ばれる新たなマルウェアの脅威について詳しく説明されています。
このホワイトペーパーでは、CosmicDukeがフィッシング攻撃の手法を用いて標的のファイルやメールを巧みに利用し、ユーザーをシステムに侵入させる方法について解説しています。標的のシステムが感染すると、CosmicDukeはキーロガー、クリップボード窃取ツール、スクリーンショットグラバー、そして様々なチャット、メール、ブラウザ用のパスワード窃取ユーティリティを用いて機密情報を収集し始めます。また、暗号証明書とそれに関連する秘密暗号鍵も窃取します。
CosmicDuke によって収集された情報はリモート サーバーに送信され、攻撃者はそれを使用してサーバーまたはオンライン アカウントにログインし、ネットワーク全体の他のシステムに拡散して追加のマルウェアの脅威をダウンロードして実行し続けるための足場を確立することができます。
CosmicDuke は必ずしも革新的なものではなく、F-Secure もマルウェアの脅威として画期的なものとは考えていません。CosmicDuke に関して最も懸念されるのは、国家が支援するサイバースパイ活動と、ありふれたクライムウェアとの境界線が曖昧になっているように見えることです。
F-Secure のセキュリティ アドバイザーであるショーン サリバン氏によると、少なくともこの組織はしっかりと組織化されており、政府機関の顧客に代わって機密情報を収集する「契約」に基づいて活動している可能性があるという。
「現在、消費者を標的とするクライムウェアは国際法執行機関の攻撃を受けています」とサリバン氏は語る。「追放されたクライムウェアベンダーが新たな情報購入者を見つけた可能性は十分にあります。」
F-Secureは具体的な標的を把握していませんが、CosmicDukeが標的型攻撃に使用されている、あるいは使用されることを意図しているという証拠があります。F-Secureによると、CosmicDukeが使用するおとり文書の名称と件名(「Ukraine-Gas-Pipelines-Security-Report-March-2014.pdf」など)は、特定の業界を狙った攻撃であることを示唆しています。
CosmicDukeに関して組織が特に認識すべき点は、脅威の状況が常に変化し続けていることです。過去10年ほどの間に、スクリプトキディが楽しみのためにマルウェアを作成する時代から、組織犯罪シンジケートが利益を目的としたより専門的な攻撃を開発する時代、そして国家が支援するサイバースパイ活動がはるかに高度なマルウェアエクスプロイトを使用する時代へと移行してきました。CosmicDukeは、これら2つの攻撃を融合させ、重大な脅威をもたらす新たな変化を象徴している可能性があります。
サリバン氏は、組織が脅威の状況に基づいてセキュリティニーズを特定し、それらのニーズを満たすための予算を確保することが重要だと強調しています。コストによってセキュリティ対策を決定づけるのは、時代遅れのアプローチであり、まさに不適切なマネジメントです。
「あなたは標的です」とサリバンは言う。「落ち着いて、自分の持ち物をしっかり守ってください」
