SecurityInsight | セキュリティインサイト

カスペルスキー、ルーターのDNS設定を改竄し悪意あるサイトへ誘導する「Roaming Mantis」がアジアから欧州および中東へと攻撃を拡大と報告

カスペルスキーは5月21日、ルーターのDNS設定を改竄し悪意あるサイトへ誘導する「Roaming Mantis」がマイニングやフィッシングといった新たな機能を追加し、アジアから欧州および中東へと攻撃を拡大していると報告した。その概要は以下のとおり。

Kaspersky Labの調査チームが4月16日に発表した「Roaming Mantis」は、当初アジア地域を主な標的としており、ルーターのドメインネームシステム(DNS)設定を改竄することで攻撃者のサーバーへ誘導し、そこでAndroid向けマルウェアのインストールを促していた。しかしその後の調査により、攻撃対象となる地域やデバイスが拡大していることが明らかになった。

現在ではその標的の範囲を欧州および中東にまで広げ、さらには仮想通貨のマイニングやiOSデバイス向けのフィッシングの機能も加えている。この攻撃は、認証情報を含むユーザー情報の窃盗と、攻撃されたデバイスを攻撃者が完全にコントロールできるように設計されている。この背後には、金銭を目的とした韓国語または中国語を使用するサイバー犯罪組織が存在すると、調査チームは見ている。

Kaspersky Labの分析結果では、この攻撃者が、脆弱なルーターのDNS設定を改竄するというシンプルでありながら非常に効果的なトリックでマルウェアを配布することが分かっているが、ルーターの侵害方法はまだ解明できていない。DNSが乗っ取られると、ユーザーがどのWebサイトにアクセスしようとしても、正規のWebサイトのドメインは攻撃者のサーバーのIPアドレスに誘導されてしまう。

この誘導先では、「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」といったメッセージを表示し、Androidデバイスに対して、バックドア機能を備えたトロイの木馬である「facebook.apk」や「chrome.apk」などのアプリケーションのインストールを促す。

「Roaming Mantis」は、標的としたAndroidデバイスのルート化の有無を確認し、ユーザーによるすべての通信やブラウジングが通知されるよう許可を求めてくる。また2段階認証のための情報を含め、幅広いデータを収集できる。攻撃者がこうした情報を取得していることや、マルウェアコードの一部に韓国のモバイルバンキングとゲームアプリのアプリケーションIDが含まれていることから、この攻撃は金銭目的の可能性があると考えられる。

4月の発表時点の調査では、それまで2か月間の同社の統計情報を確認したところ、韓国、バングラデシュ、日本を中心に、約150のカスペルスキー製品のユニークユーザーが標的となっていた。しかし、攻撃者の指令サーバーとの通信が1日あたり数千を超えることも判明しており、攻撃の規模は当社の統計情報で確認された数よりも遥かに大きいものと見ていた。この時点で、マルウェアの対応言語は、韓国語、中国語(簡体字)、日本語、英語の4種類だった。

その後この攻撃は進化を続け、現在では27言語(ポーランド語、ドイツ語、アラビア語、ブルガリア語、ロシア語など)に対応し、攻撃対象がiOSデバイスであった場合には、Appleを騙ったフィッシングサイトに転送する機能や、誘導先のページ上にユーザーのPCのリソースを密かに使用して仮想通貨のマイニングを行なう機能も追加されている。

同社の観測によると、攻撃範囲の拡大と対象言語の増加に伴い、カスペルスキー製品で検知したユーザーの数も増加している。対応言語が27言語に増えてから少なくとも数日以内に100以上のユニークユーザーの環境で検知している。同社のリサーチャーは、この大規模な攻撃は今後も続くと見ている。
 

関連リンク

プレスリリース