Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も

APTグループ「Tick」が関係すると見られる攻撃活動が2018年以降も観測されている。国内組織に対して引き続き攻撃を展開しており、JPCERTコーディネーションセンターが注意を呼びかけた。

20190222_jp_002.jpg
JPCERT/CCが公表したマルウェアの通信先

同グループは、「BRONZE BUTLER」といった名称でも知られ、国内企業の知的財産などを狙って活動する攻撃グループ。

2016年ごろより活動が知られるようになったが、同センターの調査によれば、2018年以降も同グループが関与したと見られる標的型攻撃や、脆弱性攻撃が継続的に観測されているという。

同グループでは、マルウェア「Datper」の感染活動を展開しているが、従来のドライブバイダウンロード攻撃から、メールによる標的型攻撃へシフト。添付ファイルを用いてマルウェアへ感染させようとしていた。

マルウェアそのものも進化しており、2018年2月以前であれば、データの送受信にハードコードされた固定のRC4キーを暗号化に用いていたため、通信内容を解読できたが、3月以降はランダムなRC4キーとRSA暗号を用いるよう変更されるなど巧妙化した。

また同グループは、資産管理ソフト「SKYSEA Client View」の脆弱性を狙った攻撃で注目を集めたが、同様の活動を2018年以降も継続しており、同センターの観測システムで脆弱性のスキャン行為が観測されている。

攻撃の対象となっているのは、2016年12月に公表された「CVE-2016-7836」。同製品のクライアントにおいてリモートより任意のコードを実行されるおそれがある脆弱性で、2016年12月の公表時点ですでに悪用が確認されていた。

脆弱性に対する攻撃は、2017年10月以降一時収束したと見られていたが、2018年3月より再開。

国内のIPアドレスに限定して同脆弱性を探索する活動が展開されており、従来の「xxmm」や「Datper」とは異なるマルウェアの感染を狙っていたという。

20190222_jp_001.jpg
センサーで検知された「CVE-2016-7836」のスキャン状況(グラフ:JPCERT/CC)

問題のマルウェアは「JavaScript」で作成されており、動作に「Node.js」を悪用。「Windows」だけでなく、「macOS」など複数プラットフォームで動作すると見られ、感染するとファイルの送受信や任意のコマンドを実行されるおそれがある。

脆弱性が狙われている「SKYSEA Client View」に関しては、すでに脆弱性「CVE-2016-7836」の修正や追加のセキュリティ対策を盛り込んだアップデートがリリースされており、対応が呼びかけられている。

今回攻撃動向を明らかにしたJPCERT/CCでは、脆弱性への対処を呼びかけるとともに、同グループが利用するマルウェアの通信先リストを公表。組織内よりアクセスが発生していないか確認するよう求めている。

(Security NEXT - 2019/02/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

WP向けソーシャルボタンプラグインにゼロデイ攻撃 - アップデートが緊急公開
「VMware Horizon」に脆弱性 - 内部のドメインやサーバ名など漏洩のおそれ
「PowerDNS」の権威DNSサーバに脆弱性 - 「RESTfulモード」利用時に影響
「Drupal」にXSS脆弱性、アップデートが公開 - 「同8.5.x」はEOLにも注意を
「Firefox 66」がリリース - 脆弱性21件を修正
iOS向けバイト情報アプリ「an」の旧版に脆弱性
CMSの「Joomla」に複数脆弱性、アップデートがリリース
データベース不要のオープンソースCMSに複数のXSS脆弱性
「WordPress 5.1.1」がリリース - XSSの脆弱性など修正
サイトの脆弱性を診断する月額制クラウドサービス - セキュアブレイン