日本のジャーナリストを標的としたマルウェア攻撃について報告していた米セキュリティ企業のSeculertが、このマルウェアと中国との関係をうかがわせる分析結果を3月5日のブログで方向した。
日本などを狙ったマルウェア攻撃はSeculertが2月に伝えていたもので、米セキュリティ企業Mandiantの報告書に見せかけたファイルをメールに添付して、マルウェアに感染させる手口が使われていた。
Seculertがこの攻撃についてさらに分析した結果、このマルウェアは日本の正規のWebサイトと通信する機能を持つ一方で、別のドメインと通信する機能も仕込まれていたことが分かったという。
問題のドメインは「expires.ddn.dynssl.com」というアドレスで、無料の動的DNSサービスを使って登録され、普段は韓国にある「218.53.110.203」というIPアドレスのサーバにつながっている。ところが、「expires」の部分を除いて「ddn.dynssl.com」というアドレスにすると、中国・山東省の済南にある「123.234.29.35」というIPアドレスのサーバにつながる仕掛けになっていたという。
Seculertによれば、済南はかつて米Googleなどを狙って発生した「Aurora攻撃」や、大規模な標的型攻撃の「Shady RAT」との関係が取り沙汰されるほか、米企業を狙ったサイバー攻撃への中国の関与を指摘したMandiantの報告書でも言及されているという。
さらにこのマルウェアは、指定された期間のみ実行される「時限爆弾」方式になっていたことも判明。普段は日本の正規サイトと通信しているが、指定時刻の5日午前8時から午後7時の間は中国のドメインと通信する仕掛けになっていた。この時間の間に新たなマルウェアをダウンロードして実行し、新たな段階の標的型攻撃の実行に備える手口だという。
問題のドメインは、動的DNSサービスプロバイダーによって「時限爆弾」が発動する前日の4日に中断されており、新たな攻撃開始には至らなかったとSeculertは伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR