Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

開催中のG20に便乗する標的型攻撃 - 分割ファイルでショートカットで攻撃

ロシアのサンクトペテルブルクで9月5日、6日の日程で開催されている主要20カ国地域首脳会議に便乗した標的型攻撃メールが、複数のセキュリティベンダーによって確認されている。

米Trend Microによれば、今回発生した標的型攻撃では、G20の会合企画チームを装ってメールを送信しており、9月はじめより流通しているという。

問題のメールには、RAR形式の圧縮ファイルが添付されており、内部には分割されたマルウェアのバイナリファイルとショートカットファイルが同梱されていた。

マルウェアの分割は、セキュリティ対策ソフトの検知を逃れるための偽装工作で、ショートカットファイルによって、分割ファイルを合成し、実行するしくみだった。

また画面キャプチャやキーロガーなどの機能を実現するため、プラグインをあとからダウンロードするしくみだった。単独で動作しないプラグインをダウンロードすることで、検知を逃れようとしていたと見られる。

同様の攻撃は、国内のシマンテックでも検知している。同社が確認した攻撃では、ショートカットがフォルダのアイコンを偽装。さらに別のフォルダが用意されており、Wordファイルとバイナリファイルが隠しファイルとして同梱されていた。フォルダと思ってショートカットファイルを誤って開こうとすると、マルウェアが生成されて感染するしくみだった。

(Security NEXT - 2013/09/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

北朝鮮サイバー攻撃の脅威データを「STIX」で公表 - 「FALLCHILL」「Volgmer」の感染チェックを
セキュリティ競技大会「Trend Micro CTF 2017」、6月に予選開催
MS&AD、中小企業向けに「プラン型」サイバー保険
カスペ、Linuxメールサーバ向け製品に新版 - マクロウイルス対策など追加
標的型攻撃の相談は減少するも緊急レスキュー支援は増加
J-CSIP、「やりとり型」の標的型攻撃を確認 - 日本語ばらまき型メールも巧妙化
PFU、不正端末検知製品を強化 - マルウェア検知機能など追加
ASEAN向けにサイバーセキュリティ演習を実施
「Flash Player」が緊急アップデート - ゼロデイ攻撃が発生
2017年3Q、「ウェブ改ざん」が大幅減 - 「フィッシング」「マルウェアサイト」は増加