シマンテックによれば、韓国を標的にしたサイバー攻撃と日本で感染被害の多いマルウェア攻撃に類似性が認められ、新たな攻撃も予想されるという。
シマンテックは10月17日、韓国企業や関連する外国企業を標的に持続的に行われているサイバー攻撃の分析結果についてブログで報告した。この攻撃に日本が関与する一方、別のマルウェア攻撃では日本での感染被害に目立ち、2つの攻撃に関連性がみられるという。
同社によると、韓国企業や韓国と取引のある企業の幹部を狙う攻撃は2009年に始まり、「Backdoor.Egobot」というトロイの木馬が使われている。攻撃者は、事前に収集した標的に関する情報をもとにして相手を巧妙にだますメールを送りつけ、添付ファイルを開かせる。この添付ファイルはショートカットファイルの場合もあり、誘導先は日本のジオシティーズにホストされたファイルだった。
添付ファイルにはさまざまなタイプがあり、受信者が添付ファイルを開くと、ジオシティーズ上のサイトからマルウェアが送り込まれ、受信者のコンピュータの情報を攻撃者に通知する。さらに、ジオシティーズ上のサイトから別のマルウェアが送り込まれ、受信者のコンピュータ上で映像や音声、スクリーンショット、使われたファイルのリストなどを取得するほか、ファイルの文字列やパターンの検索、復元ポイントの削除、攻撃者が設置したとみられるマレーシアやカナダ、香港のサーバへのファイル送信を行っていた。
セキュリティソフトによる検知を回避するために、正規プロセスに偽装したり、一定期間後にマルウェア自身を削除する設定がされたりしていた。また、64ビット環境に対応するためにコードも追加するなど、更新機能も備えていたという。
また同社がこの攻撃の解析を進める中で、「Nemim」という2006年に初めて検知されたマルウェアとの関係も浮かび上がってきた。Nemimも機能拡張や感染したコンピュータから情報を盗み出すなどの点で「Egobot」と数多くの類似性が認められた。活動時期が似ている点からも開発元が同じである可能性が極めて高いという。Nemimの感染被害は日本と米国に集中し、現在も攻撃活動が続いている。
特徴 | Nemim | Egobot |
---|---|---|
収集される情報で使われる特定の形式とタグ | Sys@User:%s@%s(%s)、CPU:%s、System OS:%s(%s)、Net card:%s(%s) | |
情報の暗号化 | 暗号化してBase64でエンコード | |
C&C サーバとの通信形式 | [URL/IP]/[パス]/[ファイル].php?a1=%s&a2=%s&a3=%s | [URL/IP]/[パス]/[ファイル].php?arg1=%s&arg2=%s&arg3=%s |
コードインジェクションの手法 | Microsoft Detoursの機能(初期バージョン) | Microsoft Detoursの機能(全てのバージョン) |
NemimとEgobotの類似点(シマンテックより)
シマンテックは、2つの攻撃が少なくとも7年以上にわたって継続され、攻撃者が常にマルウェアなどの手口を進化させてきていると指摘する。この攻撃者の意欲は今後も変わらないとみられ、「新たな攻撃が展開される可能性は高い」と予想している。
Copyright © ITmedia, Inc. All Rights Reserved.