日本の製造業を狙い撃ちにした標的型攻撃
1月から3月にかけて「訃報メール」を装った日本の製造業を狙ったサイバー攻撃が起こりました。攻撃したのはDragonOKと呼ばれる、江蘇省を拠点としているとみられる犯罪者集団で、2014年から日本と台湾のハイテク産業や製造業を狙ったスパイ活動が報告されています。
DragonOKの攻撃は、Backdoor.Emdiviと同様に無害に見えるファイルにドロッパーを仕込んで送り込み感染させます。今回の攻撃では訃報を知らせるメールにWordやExcel、PDFのアイコンを模した実行ファイルがのアイコンを模した実行ファイル(exe)が添付されており、その添付ファイルにマルウェアが仕込まれていました。
また、この攻撃には正規の文書であることを見せかけるために“おとり文書”も含まれており、メールの受信者がファイルを実行すると訃報の内容が書かれた文章などを表示します。そして、このマルウェアはバックグラウンドでC&Cサーバとの通信してRATをダウンロードします。
日本の製造業に届いた、実際の訃報を装ったおとり文章

この攻撃の特徴は新しい未知のRATが使われた点です。一連の攻撃では合計5つのRATが使われており、そのうちNFlog、Poisonlvy、NewCT、PlugXの4つはこれまでもさまざまな標的型攻撃の中で使用されてきたものですが、残り1つのRATはグローバルでも確認されていないツールで、日本の組織を攻撃するために攻撃者が新しく作成したものであると考えられます(今回この攻撃を発見したパロアルトネットワークスはこのツールを「FormerFirstRAT」と名付けました)。
これらのRATはシステムのコントロールの奪取、キーロガー、スクリーンキャプチャの取得、ファイルの盗難といった活動を行います。
この攻撃は1月から3月の2カ月の間に同一の方法で、最初にとある製造業への攻撃があり、そして次にハイテク組織への攻撃が観測されています。