高度なスパイ機能のマルウェア「miniFlame」見つかる、標的型攻撃に使用か

攻撃者はマルウェア「Flame」や「Gauss」に感染させた標的のコンピュータの中から特に興味深い標的を絞り込み、スパイツールの「miniFlame」を送り込んでいたとみられる。

» 2012年10月16日 07時36分 公開
[鈴木聖子,ITmedia]
国家規模で作られているとされるマルウェア群の関係(Kasperskyより)

 Kaspersky Labは10月15日、国家が関与したといわれる「Flame」や「Gauss」などのマルウェアについて調べる過程で、別のマルウェア「miniFlame」(別名SPE)が新たに見つかったと発表した。

 同社のブログによると、miniFlameは“フル機能”を備えたスパイモジュールで、感染したシステムにアクセスしてデータを盗み出す機能を実装。Flameのプラットフォームをベースとしているものの、単体のマルウェアとして運用されることも、Flameのコンポーネントとして運用されることもあるという。

 さらに、miniFlameがGaussと組み合わせて使われていることも判明した。これは、FlameとGaussが同じ「サイバー兵器製造工場」で作られていることの裏付けにもなるとしている。

 miniFlameの開発は数年前からスタートし、FlameおよびGaussと並行して進められていたとみられる。感染はレバノンやイラン、クウェート、カタールなどの国で確認されているが、感染数はFlameやGaussに比べると少なく、攻撃者にとっての重要度が極めて高いごく一部の組織のみに標的を絞り込んだ攻撃に使われていた可能性が大きいという。

 感染経路は現時点で不明だが、既にFlameやGaussに感染しているシステムに、マルウェア制御用のサーバを通じてインストールされるケースが多いとKasperskyは推定する。攻撃者はまず第1波として、できるだけ多くのシステムをマルウェアに感染させ、感染先から集めた情報を分析して興味深い標的を特定。その中から選び出した標的に対し、miniFlameのようなツールを送り込んで、スパイ活動を実行していたとみている。

関連キーワード

マルウェア | Kaspersky | スピア型攻撃


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ