TOPセキュリティ > 産業部門の企業を狙うAPT攻撃、韓国などアジアが主な標的に(...

セキュリティ

産業部門の企業を狙うAPT攻撃、韓国などアジアが主な標的に(前)

2020/01/15

Lucian Constantin CSO

既知のマルウエアで情報を盗む

 このキャンペーンの狙いは、企業が持つ情報を盗み出すことにある。実際、キャンペーンで使われているマルウエアは、パスワードを盗むマルウエアSeparを改変してドキュメントを盗む機能を加えた新しい亜種だ。こうした手法で企業から盗むファイルには、企業秘密や設計図など、機密性の高い情報が含まれている可能性がある。攻撃者にとっては、今後の攻撃を計画したり、製品の脆弱性を見つけたりといった用途や、攻撃の依頼元の競争力を高める狙いが考えられる。

 従来のSeparは、ブラウザーやメールのパスワードを盗むマルウエアで、少なくとも2013年から出回っていた。今度の新しい亜種は、特定の拡張子を持つドキュメントや画像をシステムの中から見つけ出してFTPサーバーにアップロードする機能を備える。

 Separは、複数のツールやバッチスクリプトが自己解凍形式の圧縮ファイルにパッケージ化されており、それらが連携して機能する。今回の亜種では、SecurityXplodedの「Browser Password Dump」「Email Password Dump」や、FTPクライアント「NcFTPPut」といった、従来のSeparにも含まれていたツールに加え、The LaZagne Projectのパスワードダンプツール、フォルダ削除ツール「deltree」、コマンドラインユーティリティー「Command Line Process Viewer/Killer/Suspender」、セキュアFTPクライアント「MOVEit Freely」が組み込まれている。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ