Kaspersky Labは、「Crouching Yeti」(別名:Energetic Bear)と呼ばれるサイバースパイ活動に用いられたマルウェアの分析結果を公表した。

発表によると、Crouching Yetiは、複数のAPT攻撃に関与しており、被害は当初の予測よりも広範囲におよんでいるという。被害企業は多岐に渡り、機械産業や、製造、製薬、建設、教育、IT関連など、101組織にのぼる。

ただ、被害者のリストを詳細に見てみると、Crouching Yetiが戦略的に標的を定めているように見えるが、同時に意図の不明な組織も攻撃の対象となっているという。

攻撃の対象となったのは、主にアメリカやスペイン、日本、ドイツ、フランス、イタリア、トルコ、アイルランド、ポーランド、中国に存在する組織で、被害は企業秘密などの機密情報の流出だとしている。

Crouching Yetiは、最新鋭の攻撃様式とは言えない。たとえば、ゼロデイエクスプロイトは一切使われず、インターネット上で簡単に入手可能なエクスプロイトのみが使用されている。それでも、この活動は数年間にわたり発見されずにいた。

トロイの木馬Havex、トロイの木馬Sysmain 、バックドアClientX、バックドアKaraganyと関連するスティーラー、ラテラルムーブメントおよび攻撃の第2段階で使用されるツールを組み合わせて攻撃に使用しているという。

最も多く使用されるツールは、トロイの木馬Havexで、この悪性プログラムとその亜種を合計27種類、さらに複数の追加モジュールを発見した。これには、産業用制御システムからのデータ収集を目的とするツールも含まれている。

Crouching Yetiで使用されるHavexなどの悪性ツールは、ハッキングされたWebサイトで構成される大規模ネットワークをC&Cサーバーとして使用していた。これらのサイトは被害者の情報をホストし、ウイルス感染させたシステムや付加的なマルウェアモジュールにコマンドを送っていた。

ダウンロードされるモジュールには、パスワードおよびOutlookの連絡先の詐取およびスクリーンショットをキャプチャするツールに加え、特定の種類のファイル(テキスト文書、スプレッドシート、データベース、PDFファイル)や仮想ドライブ、パスワード保護されたファイル、PGPキーを探して盗むモジュールなどが含まれている。