セキュリティ研究者らは、ウイルス対策製品やその他のセキュリティツールによる検出を回避するように設計されたサイバースパイマルウェア「Duqu」の新しい亜種を発見した。
シマンテックの研究者は月曜日、Twitterで、マルウェアの暗号化された本体をロードするコンポーネントである新たなDuquドライバを発見したと発表した。シマンテックの主任セキュリティレスポンスマネージャーであるヴィクラム・タクル氏によると、このドライバはmcd9x86.sysと呼ばれ、2月23日にコンパイルされたという。
2011年10月に発見されたDuquは、産業破壊活動を行うStuxnetワームと関連があり、コードの一部を共有しています。しかし、破壊的な目的で作成されたStuxnetとは異なり、Duquの主な目的は世界中の特定の組織から機密情報を盗み出すことです。
新たなドライバーの発見は、Duquの作成者がミッションを継続していることを明確に示しているとタクール氏は述べた。「Duquに関する世間の認識がどれほど高まっても、彼らは目的を達成するためにそれを使用することを止められなかった」
「DuquとStuxnetに投じられたのと同じくらいの資金を投じてこの柔軟なフレームワークを構築した以上、それをただ捨ててゼロから始めることは不可能だと思います」と、カスペルスキー研究所のグローバル調査分析チームディレクター、コスティン・ライウ氏は述べています。「DuquとStuxnetの将来の亜種は、おそらく同じプラットフォームをベースにしつつも、セキュリティソフトウェアに検知されない程度に十分な変更が加えられるだろうと、私たちは常に言ってきました。まさに今回の亜種がまさにその通りです。」
新しいドライバのソースコードは再編され、以前のバージョンとは異なるオプションセットでコンパイルされています。また、設定ブロックを復号し、マルウェア本体をロードするための別のサブルーチンも含まれています。
「この手法は、2011年10月に公開された情報を受けてDuquドライバが再コンパイルされ、新しい暗号化サブルーチンがバンドルされたときに確認されています」とライウ氏は述べた。
ライウ氏によると、Duquの亜種は、これまで知られていたコマンド&コントロール(C&C)サーバーがすべて2011年10月20日にシャットダウンされているため、新しいC&Cサーバーを使用している可能性が高いとのことです。しかし、シマンテックとカスペルスキーの研究者は、その情報を含むコンポーネントを保有していないため、新しいサーバーの正確なアドレスを把握していません。
「Duquの完全な本体は入手できていません。ドライバー形式のローダーのみ入手しています。ローダーはC&Cサーバーに直接接続せず、暗号化された形式で保存されている本体をロードするだけです」とライウ氏は述べた。
たとえ新しいサーバーが知られたとしても、真の攻撃者に誰も近づきにくいように設定されている可能性が高いとタクル氏は述べた。Duquの作者たちは、このマルウェアが攻撃者の特定に至らないと確信していると彼は述べた。
新しいバージョンの標的となる組織も現時点では不明だが、おそらく以前の亜種と同じ組織だろうとライウ氏は述べた。
