■新たにウェブ経由侵入経路も確認
カスペルスキーは、日本を標的にした攻撃「ブルーターマイト(Blue Termite)」の新たな動きを観測したと発表した。
ブルーターマイトは、2014年秋に初めて確認された一連のAPT攻撃(高度な標的型攻撃)だ。ただし、その後の調査から、少なくとも13年11月から活動していたことが分かっているという。
今年6月に発覚した日本年金機構への攻撃も、その一環と考えられている。カスペルスキーによると、ブルーターマイトが新たな感染手法を取り入れ、感染組織の数・業種も拡大するなど、攻撃がさらに活発化しているという。
感染手法については、従来は主に標的型メールによって標的組織に侵入する流れだったが、新たにウェブ経由の侵入経路も確認したという。
7月には、複数の改竄(かいざん)サイトにマルウエア(悪意あるソフトウエア)を設置し、フラッシュプレーヤーのゼロデイ脆弱(ぜいじゃく)性(CVE-2015-5119)を突いてサイト閲覧者のPCに自動的に感染する“ドライブバイダウンロード”の手法が確認されたほか、標的組織の職員などがよく訪れるサイトを改竄して待ち受ける“水飲み場型攻撃”が取り入れられていることも確認したという。
また、侵入する遠隔操作ツールの「Emdivi t20」は7月以降、特定の標的の環境だけで動作する新しい仕組みを取り入れており、より標的型に特化したカスタマイズが施されているとしている。
カスペルスキーでは、ブルーターマイト攻撃におけるドライブバイダウンロード手法の導入やマルウエアの進化により、感染した組織が被害に気づきにくくなっていると指摘。その結果、感染した端末と攻撃者の指令サーバーとの通信数が増加しているという。
Copyright (c) 2015 SANKEI DIGITAL INC. All rights reserved.
