「Thrip」が衛星通信や防衛産業を標的に - 中国国内の端末から操作

また地理空間画像の処理と地図作成を業務とする事業者の運用システムで、GIS（地理情報システム）ソフトウェアが稼働している端末も標的としていた。

当初、同グループは独自のマルウェアを用いて攻撃を展開していたが、2017年ごろより、OSが提供する「PsExec」「PowerShell」や端末に導入されていた通信アプリ「WinSCP」「LogMeIn」などと、「Mimikatz」といったツールやカスタムマルウェアを併用しているという。

発覚をおそれてか、カスタムマルウェアを用いるのは、特定の端末に狙いを絞った際で、トロイの木馬「Rikamanu」や、同マルウェアをベースとした情報を盗み出すマルウェア「Catchamas」をはじめ、キーロガー「Mycicil」や、バックドア「Spedear」などを用いていた。

攻撃対象の業種（画像：Symantec）

（Security NEXT - 2018/07/04 ） ツイート

PR

関連記事

LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分
「VMware ESXi」も標的とするランサムウェア「Akira」に警戒を
「Microsoft Edge」にアップデート - 「Chromium」の脆弱性修正を反映
「Rust」によるWindowsバッチ処理に脆弱性 - アップデートが公開
「PAN-OS」に関する脆弱性7件を修正 - Palo Alto Networks
「Chrome」に3件の脆弱性 - アップデートが公開
第三者にメールを閲覧された痕跡、詳細を調査 - 東芝テック
JFEスチールとデロイトトーマツサイバー、セキュリティ会社を設立
システム障害で製品供給に影響、サイバー攻撃に起因か - HOYA
初期侵入から平均62分で横展開を開始 - わずか2分のケースも