セキュリティ企業ESETから、ロシアのハッカー集団「Turla」が既存マルウェアを新たにバージョンアップさせて攻撃を行っていることを確認したとのことです。
概要
2020年1月ごろに、コーカサス地方の議会と西欧の外務省がターゲットにされたサイバー攻撃が新たな手法を用いていたことで発覚、ESETのセキュリティ研究者の分析によりマルウェア「ComRAT」」によるものだったと確認されました。
確認された ComRAT の攻撃手法
マルウェア「ComRAT」」は、2017年ごろからサイバー攻撃に使用されているもので、今回の攻撃例では新たな機能が備わっていたことが確認されたとして以下のとおり挙げられております。
| ・感染させたホストからターゲットが使用するセキュリティツールのログを取得、その情報を攻撃者のサーバーに送信する |
| ・HTTP経由でリモートサーバーに接続し、感染させたターゲットのホスト上で稼働しているデータを取得する |
| ・ターゲットのブラウザのブラウザを乗っ取った後、クッキーデータを窃取しGmailに接続する。また、攻撃者はComRATへの攻撃指令のやり取りにGmailを使用していることも確認されている。 |
ESETセキュリティ研究者のひとりMatthieu Faou氏は、Turlaの攻撃目的に「(ターゲットの)セキュリティツールのログを収集して、マルウェアの検出状況をテストし、検出されている場合はどれが検出されているかを把握しようとしている可能性がある」と分析しております。
| 【参考URL】 露ハッカー集団、マルウェアでウイルス対策のログも収集 |