NetTravelerまたはTravNetは2004年に登場し、少なくとも2016年までは活発に使用されていたスパイウェアで、数十カ国で数百台もの、特に知名度の高いサーバーに感染しました。 [1]
このマルウェアの名前は、初期バージョンに「NetTraveler is Running!」という文字列が含まれていたことに由来しています。攻撃者は、このマルウェアを標的の高度な持続的脅威( APT)に利用し、標的のシステムを調査します。大量の個人情報を標的のシステムからC&Cサーバーに転送し、トロイの木馬やバックドアとして機能します。[2] [3]
MS Word文書などのOffice文書を用いたスピアフィッシングは、 CVE - 2012-0158およびCVE-2010-3333の脆弱性を標的として、脆弱なシステムを感染させるために使用されます。[2]攻撃者は、標的に関連するニュース記事をスピアフィッシングに利用します。[1]
カスペルスキー研究所は、NetTravelerに感染した被害者の一部がRed Octoberにも感染していたことを発見したが、このマルウェアとの直接的な関連性は確認されていない。複数の感染が発生した理由は、政府機関、原子力発電所、数十カ国の大使館といった著名な組織が感染していたためと考えられる。[4]
NetTraveler攻撃に関与したコマンド&コントロールサーバーは、米国、香港、中国に設置されており、100以上のURLが使用されていました。これらのC&Cサーバーは、主にIIS 6/7で動作していました。
Kaspersky Lab によれば、NetTraveler は中国の中規模の脅威グループによって使用されているとのことです。
感染したシステムからNetTravelerを削除するには、ウイルス除去ツールやSpyHunter除去ツールなど、いくつかの方法があります。また、このマルウェアを手動で削除することも可能です。[3]
特に標的となった国には、ロシア、インド、パキスタン、モンゴル、キルギスタン、カザフスタンが含まれていた。[5]
参考文献
- ^ ab 「NetTraveler APT、ロシアとヨーロッパの利益を標的に」Proofpoint、2016年7月7日。2017年4月23日時点のオリジナルよりアーカイブ。
- ^ ab 「The NetTraveler (aka 'Travnet')」(PDF)。Kaspersky Lab。2017年11月16日時点のオリジナルよりアーカイブ(PDF) 。
- ^ ab 「NetTravelerをPCから完全に削除する方法」。pc -remover.com。2024年5月28日時点のオリジナルよりアーカイブ。
- ^ コンスタンティン、ルシアン. 「サイバースパイ活動『NetTraveler』が数百の重要標的からデータを盗み出した」. CSO Online . 2018年3月29日閲覧。
- ^ 「カスペルスキー研究所、政府関連組織や研究機関を標的とした世界的なサイバースパイ活動「Operation NetTraveler」を解明」kaspersky.com 2021年5月26日
外部リンク
- カスペルスキー研究所のグローバル調査分析チームによるNetTraveler(別名「Travnet」)
