Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

プラント関係者狙う執拗な攻撃が継続中 - 一定知識で自然な文面

プラント設備や部品のサプライヤーを狙った攻撃では、実在すると見られる開発プロジェクト名や事業者名を悪用。提案や見積依頼に見せかけていた。着信数は多くなく、無差別に送りつけるのではなく、対象を絞り込んだ攻撃と見られている。

さらに一定の知識をもとに文面を作成しているものと見られ、内容を変化させつつもプラントの資材や機材について詳細を含みつつも、不審感を抱かせない内容だった。

実行ファイルを含む圧縮ファイルを送りつける手法を好み、情報窃取を目的としたマルウェアへの感染を狙ったケースが多いが、URLによる外部フィッシングサイトへの誘導、脆弱性やマクロを用いたWordファイルを利用するなど、複数の攻撃手法を展開している。

文面をはじめ、送信先のIPアドレス、Reply-Toヘッダ、マルウェアの種類や接続先などに共通点が確認されており、同一攻撃者によって展開している可能性が高いとJ-CSIPでは分析。2019年第2四半期に入ってからも攻撃が継続しており、今後も攻撃へ警戒するよう警鐘を鳴らしている。

20190426_ip_002.jpg
プラント関係者を狙う攻撃の展開状況。複数のマルウェアや文書ファイルなどを利用している(図:J-CSIP)

(Security NEXT - 2019/04/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

凸版印刷、セキュリティ人材の育成で新会社
2019年3Qの標的型攻撃メールは113件 - 9割はプラント関連
2019年3Qのインシデント、前期比1.4倍に - フィッシング増加影響
2019年2Qは「フィッシング」「マルウェアサイト」が増加
新種ランサム118%増、再流行の兆候 - PowerShellマルウェアは5.6倍に
2019年上半期の標的型攻撃は2687件 - 圧縮ファイル悪用が急増
標的型攻撃の72%が正規機能を悪用 - 「CSVファイル」悪用が1割強
2019年2Q、標的型メール攻撃75件 - 約7割がプラント関連
2018年度下半期の標的型攻撃相談は258件 - メール以外で侵入されたケースも
「データ破壊」狙うイランのサイバー攻撃が増加 - 米政府声明