米Cylanceは5月12日、2016年8月に国内外で深刻な被害をもたらした「台風10号」(英名:LIONROCK)に便乗する高度な標的型攻撃を発見したと発表した。攻撃はスパイ行為が目的とみられ、そのための多数のマルウェアがヤフーの「ジオシティーズ」にホストされていたと報告している。
この攻撃では、「2016年 北朝鮮北東部の咸鏡道で発生したLIONROCKによる洪水被害に関する考察」と題したメッセージが送り付けられ、メッセージのリンク付ファイルを通じて、高度に難読化された不正なスクリプトやDLLファイル、マルウェアがダウンロードされる。これらの配布元にジオシティーズが悪用されていた。
Cylanceはこの攻撃キャンペーンを「BAIJIU」(中国の「白酒」を指しているとみられる)、マルウェアを送り込むダウンローダを「TYPHOON」、攻撃者が遠隔操作するマルウェアを「LIONROCK」と、それぞれ命名。これらが中国に関連しているとみており、2013年にSymantecが報告したバックドア「Egobot」や、2014年にKasperskyが報告した標的型攻撃「Darkhotel」との類似性が認められるとしている。
受信者のコンピュータに送り込まれるスクリプトやファイルは、幾重にも難読化されており、WindowsのPowerShellなどのツールも利用するなど、高度な手口が見て取れる。従来型のアンチウイルスはもとより、サンドボックスや次世代型のアンチウイルスソフトでも検出が非常に難しいという。ただし、期限切れの証明書が署名に使われているなどの特徴も確認された。
攻撃者は、最終的に感染させたマルウェアを遠隔操作し、受信者のコンピュータ環境や画面キャプチャなどのさまざま情報を搾取し、マルウェア自体を削除できるようにもしていた。
Cylanceは、攻撃者がYahoo! JAPAN IDを取得すれば無料で利用できるジオシティーズのサービスに目を付け、高速なインターネット環境が整っている日本を攻撃インフラにした可能性があると指摘。今回の攻撃については同社だけでなく、日本のセキュリティ研究者もブログで言及しているとした。