ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

セキュリティ研究者狙い撃ちの攻撃キャンペーンをGoogleが警告 背後に北朝鮮か

» 2021年01月26日 14時21分 公開
[ITmedia]

 米Googleは1月25日(現地時間)、多数の企業や組織のセキュリティ研究者を標的とした数カ月前から進行中の攻撃キャンペーンについて説明し、警告した。同社は、このキャンペーンは北朝鮮に拠点を置く政府支援のグループによるものと考えているという。

 Advanced Persistent Threat(APT)型攻撃などを監視するGoogle内のチーム、Threat Analysis Group(TAG)によると、このグループはセキュリティ研究者から信頼を得るため、多様なサービスで複数のアカウントを作り、偽のセキュリティ研究ブログを開設している。

 tag 1 信頼性獲得のために生成されたTwitterアカウント

 おおまかな手口は次の通り。まず攻撃者はTwitterやLinkedIn、Telegram、Discord、Keybaseなどで複数のアカウントを作り、これらのアカウントで偽研究ブログへのリンクやコメントを投稿することでブログの“もっともらしさ”を確立させた上で、ターゲットの研究者にアプローチする。つながりができた研究者に脆弱性研究で協力するかどうか尋ね、同意すればVisual Studioプロジェクトを提供する。このプロジェクトに脆弱性を悪用するソースコードと、攻撃者のC2ドメインとの通信を自動で開始するDLLが仕込まれている。

 tag 2 ブログへのリンクのツイート

 こうしたソーシャルエンジニアリングによる攻撃に加え、ブログの記事にアクセスした研究者のシステムに悪意あるサービスがインストールされ、メモリ内にバックドアを仕掛けられたケースも報告された。この被害者のシステムは完全なパッチを適用したWindows 10上で最新版Chromeブラウザを実行していたという。現時点で侵害のメカニズムは解明されておらず、TAGは情報を求めている。

 TAGは攻撃者が使っている一連のアカウントやC2ドメインなどのリストを公開し、そのいずれかにアクセスしたことがある場合はシステムを確認することを勧めている。

Copyright © ITmedia, Inc. All Rights Reserved.