Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も

APTグループ「Tick」が関係すると見られる攻撃活動が2018年以降も観測されている。国内組織に対して引き続き攻撃を展開しており、JPCERTコーディネーションセンターが注意を呼びかけた。

20190222_jp_002.jpg
JPCERT/CCが公表したマルウェアの通信先

同グループは、「BRONZE BUTLER」といった名称でも知られ、国内企業の知的財産などを狙って活動する攻撃グループ。

2016年ごろより活動が知られるようになったが、同センターの調査によれば、2018年以降も同グループが関与したと見られる標的型攻撃や、脆弱性攻撃が継続的に観測されているという。

同グループでは、マルウェア「Datper」の感染活動を展開しているが、従来のドライブバイダウンロード攻撃から、メールによる標的型攻撃へシフト。添付ファイルを用いてマルウェアへ感染させようとしていた。

マルウェアそのものも進化しており、2018年2月以前であれば、データの送受信にハードコードされた固定のRC4キーを暗号化に用いていたため、通信内容を解読できたが、3月以降はランダムなRC4キーとRSA暗号を用いるよう変更されるなど巧妙化した。

また同グループは、資産管理ソフト「SKYSEA Client View」の脆弱性を狙った攻撃で注目を集めたが、同様の活動を2018年以降も継続しており、同センターの観測システムで脆弱性のスキャン行為が観測されている。

攻撃の対象となっているのは、2016年12月に公表された「CVE-2016-7836」。同製品のクライアントにおいてリモートより任意のコードを実行されるおそれがある脆弱性で、2016年12月の公表時点ですでに悪用が確認されていた。

脆弱性に対する攻撃は、2017年10月以降一時収束したと見られていたが、2018年3月より再開。

国内のIPアドレスに限定して同脆弱性を探索する活動が展開されており、従来の「xxmm」や「Datper」とは異なるマルウェアの感染を狙っていたという。

20190222_jp_001.jpg
センサーで検知された「CVE-2016-7836」のスキャン状況(グラフ:JPCERT/CC)

問題のマルウェアは「JavaScript」で作成されており、動作に「Node.js」を悪用。「Windows」だけでなく、「macOS」など複数プラットフォームで動作すると見られ、感染するとファイルの送受信や任意のコマンドを実行されるおそれがある。

脆弱性が狙われている「SKYSEA Client View」に関しては、すでに脆弱性「CVE-2016-7836」の修正や追加のセキュリティ対策を盛り込んだアップデートがリリースされており、対応が呼びかけられている。

今回攻撃動向を明らかにしたJPCERT/CCでは、脆弱性への対処を呼びかけるとともに、同グループが利用するマルウェアの通信先リストを公表。組織内よりアクセスが発生していないか確認するよう求めている。

(Security NEXT - 2019/02/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Tomcat 9.0.24」が公開 - 「HTTP/2」向けに保護機能
「Apache HTTPD 2.4.41」がリリース - 「HTTP/2」関連など脆弱性6件を修正
「HTTP/2」の実装に複数脆弱性 - DoS攻撃手法が明らかに
「Bluetooth」に暗号化強度下げる「KNOB攻撃」が判明
スイッチ「Cisco Small Business 220」に複数の深刻な脆弱性
日本語などテキスト処理に脆弱性、Win XP以降に存在 - 報告者が詳細公表
「Firefox」にマスターパスワード認証が回避されるおそれ - アップデートを実施
F5製「BIG-IP」、構成によっては侵害のおそれ - 利用企業は早急に確認を
Adobe CC関連アプリに脆弱性 - 一部「クリティカル」も
「Adobe Experience Manager」に深刻な脆弱性 - SAMLで認証回避のおそれ