トレンドマイクロは8月24日、上半期(1~6月)の国内での持続的標的型攻撃(APT攻撃)の傾向レポートを公開した。確認された標的型攻撃に使用されたバックドア型のマルウェアとして「BKDR_POISON」「BKDR_DARKMOON」が約4割を占めているという。
これらのマルウェアは、ウェブに無償で公開されている遠隔操作ツール「PoisonIvy」で作成され、ファイルやプロセスの操作、リモートシェルの実行、スクリーンやカメラのキャプチャ取得、マウスやキーボードの操作などが可能であり、悪意のあるユーザーがCommand & Controlサーバ(指令サーバ)や操作を実行するためのパスワードなどを独自に設定、情報を盗むのに活用される。
上半期に確認されたPoisonIvyのサンプル群から50個を任意に抽出し調査した結果、約半数のサンプル間に一連の攻撃の関連性が認められ、3台の指令サーバのIPアドレスを含む攻撃インフラの存在が確認されている。この攻撃インフラを過去にさかのぼって調査すると、もう一つの指令サーバが確認されている。これらのIPアドレスのレンジから、さらに3台の指令サーバが存在することが明らかになっている。
この攻撃インフラは少なくとも2009年から使用されており、そのうち7台の指令サーバの存在が分かっている。これらの調査結果に基づいて、トレンドマイクロでは、特定のマルウェア群に共通した挙動に着目したファイルや通信の検出、指令サーバ群の特定による攻撃元をブロックすることで、早期の対策を提供していくと説明している。