2014年に入っても、特定の産業、組織に的を絞って仕掛けられる標的型サイバー攻撃の被害があとを絶たない。トレンドマイクロは2014年3月10日付けの同社のブログで、新たな標的型攻撃キャンペーン「Siesta」の実態について報告し、注意を呼びかけている。
特定の産業、組織に的を絞って仕掛けられる標的型サイバー攻撃の場合、金銭を目的とした機密情報の窃取など攻撃の目的が明確で、その目的を達成するまで執拗に繰り返される傾向がある。トレンドマイクロでは、そうした一連の作戦行動を「キャンペーン」と呼んで警告してきた。
今回、トレンドマイクロが確認し、同社のセキュリティブログで実態を報告している標的型攻撃キャンペーンは「Siesta」と呼ばれるもの。2013年5月に同社が報告した標的型攻撃キャンペーン「Safe」と同様、秘密裏に攻撃が実行され、監視の目をくぐり抜けている模様だ。
Siestaキャンペーンを展開した攻撃者は、複数の不正プログラムを利用して、特定の企業・団体を標的にしている。トレンドマイクロはSiestaによって狙われた産業として、消費者向け商品およびサービス、エネルギー、金融、医療・保健関連、メディアおよび電気通信、行政機関、防衛関連企業、運輸を挙げており、広範な業界に向けて展開された攻撃であることがうかがえる。
Siestaキャンペーンの実態の究明にあたって、トレンドマイクロは現在、ある企業の幹部に宛てたスピアフィッシングメールの送信元に関する事例を調査している。同社によると、一連のスピアフィッシングメールは、企業内の社員のメールアドレスになりすまして送信されているという。「今回の攻撃キャンペーンでは、添付ファイルや書類を用いた攻撃を利用する代わりに、正規のものに見えるリンクを通じて、不正プログラムをダウンロードさせている」(同社)。
スピアフィッシングメールは、PDFドキュメントを装った実行ファイル(「TROJ_SLOTH」の亜種として検出)を含み、これが実行されると、まず標的とされた企業のWebサイトから取得したものと思われる正規のPDFファイルが作成され開かれる。だが、それと同時に別の不正なバックドア型不正プログラムが裏で作成・実行されるという、巧妙な仕掛けがとられている。
調査の結果、今回のキャンペーンで利用されたマルウェアの亜種は2つで、そのうちの1つは、「Questionaire Concerning the Spread of Superbugs February 2014.exe(SHA1:014542eafb792b98196954373b3fd13e60cb94fe)」。トレンドマイクロのマルウェア検出システムでは「BKDR_SLOTH.A」として検出されるという。
2つの亜種は既出の「BKDR_SLOTH.B」に似た不正活動を行うバックドア型不正プログラム「UIODsevr.exe」を作成し、サイバー攻撃のために構築されたC&C(命令・制御)サーバーと通信する。同社によると、Siestaキャンペーンで利用されたC&Cサーバーは最近登録されたもので、短期間しか利用されておらず、不正プログラムの活動を追跡するのが困難だという。
2つの亜種は攻撃を行った後、最終的に「Sleep」コマンドを呼び出す。これは、不正プログラムの実行をさまざまな期間で停止させるコマンドで、今回のキャンペーンがSiesta(スペイン語で昼寝の意味)と呼ばれる由来になっている。
Trend Micro / 標的型攻撃 / サイバー攻撃
