11月6日から9日、大阪で開催された「第22回インターナショナルAVARサイバーセキュリティカンファレンス」において、セキュリティ企業「FireEye」佐島隆博氏が、近年活発化している中国のハッカーグループによるスパイ攻撃について発表しました。
概要
佐島氏が発表したスパイ攻撃は、中国のハッカーグループ「APT 41」によるもので、攻撃手法にフィッシングメールが用いられているとのことです。
佐島氏は過去事例として2018年5月に確認された東アジアの製造会社ターゲットにしたフィッシングメールを挙げており、内容は日本語で構成されておりPowerPointの圧縮ファイル(zipファイル)が添付されていたというものです。
添付されていたzipファイルを解凍すると、“SWEETCANDLE”というダウンローダーが起動、“POISONPLUG”というマルウェアがパソコン内にインストールされることが確認されたとのことです。
POISONPLUGの特徴
“POISONPLUG”は比較的新しく、検出された事例も少ないが、現時点で判明している機能として、同マルウェアがインストールされると、そのパソコンはボット化され攻撃者により何のプログラムを「いつ」「どのように」動作させるかをリモートで実行されるというものが挙げられております。
佐島氏は、「攻撃手法は進化と洗練を続け、複雑さを増している。極めて厳しいチャレンジではあるものの、攻撃に対抗する側は常に追随していく必要がある」とコメントし、当発表を締めくくっております。