Kaspersky(カスペルスキー)のグローバル調査分析チーム(GReAT)は、中央アジアでの機密情報収集を主な活動とするAPT(持続的標的型)攻撃グループ「Tomiris(トミリス)」に関する調査結果を発表した。
Tomirisは、CISの政府機関と外交機関を標的としており、その最終的な目標は内部文書を盗むことだという。中東や東南アジアなどの地域で被害に遭った組織は、CIS諸国の代表機関などであることが判明しており、Tomirisが攻撃対象を絞り込んでいることを示すとしている。
また、様々な攻撃経路を使用して被害者を狙っており、悪意のあるコンテンツが添付されたスピアフィッシングメール、DNSハイジャック、脆弱性の悪用(特にProxyLogon)、疑わしいドライブバイダウンロードほか、新しい手段もあるという。
Tomirisの活動を特別視する理由は、同グループが、以前「Turla」が使用していたマルウェア「KopiLuwak」と「TunnusSched」を活用していることにある程度の確信をもっているためだという。ただし、同社の最新調査では、TomirisとTurlaは攻撃のツールキットは共有しているものの、スパイ技術を交換し合う別々の攻撃グループである可能性が非常に高いとみているとした。
Tomirisがロシア語話者のグループであることは間違いないが、その標的とスパイ技術は、Turlaに関する観察結果とは大幅に異なっているとのこと。また、Tomirisの基本的な侵入方法やステルス性への関心の低さは、Turlaのスパイ技術と一致しないという。
同社のリサーチャーは、攻撃ツールの共有はTomirisとTurlaが何らかの協力関係にあることを潜在的に示していると考え、TomirisがマルウェアKopiLuwakを使い始めた時期によって、Turlaに関連していると考えられる多くの攻撃やツールを再評価する必要があるかもしれないと述べている。
【関連記事】
・カスペルスキー、Microsoftのゼロデイ脆弱性を利用した攻撃を発見
・カスペルスキー、法人向けなりすましメール模擬テストの支援サービスを無償で2ヵ月間利用可能に
・カスペルスキーCEO、3年半ぶりに来日「逆境下でも、我々は求められている」
