パロアルトネットワークス合同会社は20日、日本の企業をターゲットにした新たなツールを利用した標的型攻撃を確認したとして、注意を促した。
この攻撃は、米Palo Alto Networksの脅威インテリジェンスチーム「Unit 42」が発見したもの。2015年1月~3月に日本の大手製造・ハイテク企業がターゲットとなっていた。攻撃を行ったのは、“DragonOK”と呼ばれる中国に拠点を持つとみられる犯罪者集団で、これまでも類似の攻撃を日本や台湾の製造業・ハイテク企業をターゲットに行っている。
DragonOKの標的型攻撃では、一見無害に見えるWordやExcelファイルに模した実行ファイル(exeファイル)にマルウェアを仕込み、メールに添付する手口が用いられる。今回確認された攻撃では、訃報を知らせるメールに関連するドキュメント風のexeファイルや、「XXX」とセルに入力されただけのExcel風のexeファイルが送られる手法が取られた。ファイルを開いてしまうとマルウェアがダウンロードされて、システムのコントロールが奪われ、キーロガーやスクリーンキャプチャー、ファイルの盗難といった活動の被害に遭う。
訃報を装ったおとり文書
Excelを装ったおとり文書
また、今回の攻撃では、これまでに発見されているツールに加えて、“FormerFirstRAT”という、グローバルでもこれまで確認されたことがない全く新しいツールが利用されていた点が特徴となっている。パロアルトネットワークスでは、日本企業への攻撃に特化した新しいツールが作成されたものと推測しており、今後も同様の攻撃が日本企業を対象に行われる可能性が高いとして、警戒を呼び掛けている。
(三柳 英樹)
関連リンク プレスリリースhttps://www.paloaltonetworks.jp/company/press/2015/2015-0420-DragonOK.html
関連記事
進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応
2014年9月19日