企業にスパイ行為を行って機密情報を盗み出すことを目的とする、多段階的な標的型攻撃の活動が世界のエネルギー業界を襲っている。
2015年の1月~2月にかけて、Symantecのセキュリティ研究者チームは「世界中、特に中東のエネルギー企業」を狙った標的型攻撃の活動を確認した。同チームによると、この新たな攻撃活動では、情報を盗み出すために「Trojan.Laziok」と呼ばれるトロイの木馬が使われているという。
Laziokは偵察ツールとしての役割を果たす。同ツールを利用することで、サイバー攻撃者はコンピュータシステムに侵入し、(ハッカーが攻撃を続けるべきかどうかを判断できるように)コンピュータシステム自体に関するデータを盗み出すことができる。全体としての目的は、企業秘密を見つけて盗み出すことだ。
Symantecは、標的にされた企業の大半が石油やガス、ヘリウムの業界と関連があることを発見した。標的にされることが最も多かったのはアラブ首長国連邦とパキスタン、サウジアラビア、クウェートだが、米国と英国の企業も攻撃を受けている。
Symantecによると、最初の攻撃ベクタの起点は「moneytrans[.]eu」ドメインで、このドメインはSMTPサーバとして機能するという。このドメインから送信される電子メールには、「Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability」(CVE-2012-0158)を突くエクスプロイトを含む悪質なファイルが添付されている。被害者がその電子メールをクリックして添付ファイル(通常は「Excel」ファイルに偽装されている)を開くと、Laziokが投下される。
Laziokはコンピュータシステムに侵入すると、「%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle」ディレクトリに身を隠した後、ファイル自体の名前を「search.exe」や「chrome.exe」など、よく知られており、まっとうに見えるものに変更する。その後、コンピュータ名やインストールされたソフトウェア、RAM容量、CPUの詳細情報、アンチウイルスソフトウェアのインストール状況といったシステムデータの収集を開始する。
それから、この情報はサイバー攻撃者に送信されて処理される。その後、感染したシステムに追加のマルウェアのペイロードが再送信され、ネットワークに損害を与えるか、データ窃盗に集中する可能性がある。
提供:Symantec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
