ロシアと中央アジアの政治的状況を悪用するマルウェア「オクトパス」

前回は、国境を越えて行われた海外のサイバー攻防についてお伝えしました。今回はロシアが関係したと思われる、政治的状況を悪用するマルウェア「オクトパス」についてご紹介します。

FacebookTwitterLinkedIn
ロシアと中央アジアの政治的状況を悪用するマルウェア「オクトパス」

「DustSquad」というロシアのサイバースパイグループの犯行と見られる

ロシア語を駆使するサイバースパイグループの中で、「DustSquad」というグループがあります。彼らは、中央アジアの政府および外交機関と一般人を主にターゲットにしています。最近では「オクトパス(Octopus)」という名前のマルウェアを使用し始めました。オクトパスはインスタントメッセージアプリケーションであるテレグラム(Telegram)と関連し、中央アジアでの政治的状況を悪用するマルウェアです。

オクトパスはデルファイ(Delphi:Windows向けアプリケーションの開発を中心とするGUIの統合開発環境(IDE)の名称)で作成されており、2017年に欧州のサイバーセキュリティ会社により発見され、オクトパスと命名されました。この名前は、DustSquadが当時使用していたC&Cサーバで、0ct0pus3.phpというスクリプトが発見されたことに由来します。

中央アジアの政治機関は、2018年にサイバースパイグループによる攻撃を複数回受けてきました。IndigoZebra、Sofacyなどが代表的な例です。SofacyはZebrocyと呼ばれるマルウェアを活用したりもしていました。そして最近では、このサイバースパイグループの集団にDustSquadが合流した様子です。

ロシアと一部中央アジアで禁止されているテレグラム(Telegram)を偽造

2018年、ロシア政府はロシア全土でテレグラムを使用禁止にしました。ロシアのApp StoreとGoogle Play Storeでは、現在テレグラムをインストールすることは出来ません。多くの論争を呼びましたが、ロシア政府のテレグラム禁止処置を覆すことは出来ませんでした。このような流れを受けて、Google Play Storeではテレグラムの偽物が登場するようになってきました。

テレグラムは人気が高いアプリケーションで、禁止される前にも既に多くのユーザーがロシア国内にいる状況でした。ロシア政府による突然の命令で、ユーザーは突如としてソーシャル活動が出来なくなり、混乱が広がりました。この混乱に便乗するかのようにアプリケーション開発者はテレグラムの偽アプリケーションを作成し、またその偽アプリケーションは多くの人気を集めるようになりました。

テレグラムは機密性が高いことをアピールポイントとしており、日本でも犯罪への使用が相次いでいる、と報道されたこともあります。

海外で開発された機密性の高い無料通信アプリが暴力団関係者や特殊詐欺グループなどによって犯罪に関する連絡手段として悪用されていることが21日、捜査関係者らへの取材で分かった。暗号化技術を使うことで通信内容を保護し、消去後の復元が困難な点に目をつけているとされ、警視庁が摘発したグループで使われていたことも確認された。警察当局は犯罪ツールとしての悪用の拡大に警戒を強めている。
参考:機密性高い海外開発の無料通信アプリ「テレグラム」「シグナル」犯罪使用相次ぐ 消去後の復元困難 警察当局、拡大に警戒
https://www.sankei.com/affairs/news/180822/afr1808220003-n1.html

underground
underground

禁止で混乱が続く中、ロシアのサイバーセキュリティ会社がオクトパスマルウェアが含まれるZipファイル1つを発見しました。タイムスタンプを確認すると、2018年2月から3月の間に作成されたものと判明しました。その上、このZipファイルはカザフスタンの反政府政党メンバーが使用する通信ソフトウェアのように偽造されていました。さらに分析を重ねた結果、このZipファイルにはDropper(ドロッパー)というトロイの木馬も含まれていることを突き止めました。このドロッパーはロシア語バージョンのテレグラムのように偽造されていたと言います。

オクトパスマルウェアはサードパーティ製のデルファイライブラリを使用しています。JSON(JavaScript Object Notation)のC2通信の為、The Indy Project等を使用しファイルを圧縮しています。また基本的なシステムレジストリをいじることで、システム内に長期に渡り潜入出来るように工夫されていたことが分かっています。

Zipファイルの名前は「dvkmailer.zip」で、既に解散済の野党であるDemocratic Choice of Kazakhstanのロシア語による略語「DVK」が含まれていました。

このオクトパスマルウェアの正確な拡散方法については、現時点では確実には判明していません。しかしながらソーシャルエンジニアリングを通じて、ユーザーを攻撃している痕跡は確認されています。DustSquadはフィッシング攻撃、スピアフィッシング攻撃を得意とするサイバースパイグループとして有名です。

サイバー攻撃者達は、このような政治的な状況や変化までも攻撃のチャンスとして利用するのです。そして、常に新たな攻撃の機会を伺っています。私たちには、日頃からサイバー攻撃の動向を注視しておくことが求められています。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。