露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連

また同アドバイザリでは、攻撃に「Golang」や「.NET」で作成された「WellMess」や「WellMail」など、カスタムマルウェアが用いられていたことを明らかにした。

「WellMess」は、国内組織においても感染が確認されているマルウェア。2018年6月にJPCERTコーディネーションセンターやラックが、解析し、挙動の詳細などを報告している。マルウェアの関数に特徴が見られ、関数名から「WellMess」と名付けられた。

「HTTP」「TLS」「DNS」といったプロトコルによる通信に対応。任意のシェルコマンドを実行したり、ファイルのアップロードやダウンロードを行う機能を備えている。

今回のアドバイザリで、「IoC（Indicators of Compromise）」としてマルウェアのハッシュ値32件が公開されたが、これらには、2018年にJPCERT/CCやラックによって観測されたハッシュ値4件のいずれも含まれていた。

一方、「WellMess」に関連する通信先のIPアドレスについては、2018年に国内で確認された6件のうち、JPCERTコーディネーションセンターが公表した3件は、今回のアドバイザリにある49件には含まれていない。

（Security NEXT - 2020/07/17 ）ツイート