Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セキュリティベンダー11社が共同作戦、標的型攻撃の封じ込め目指す

セキュリティベンダーが協力して、標的型攻撃などに用いられるマルウェア「Backdoor.Hikit」の掃討作戦を展開している。

今回の共同作戦は、Microsoftの「Coordinated Malware Eradicationプログラム」のもと展開されたもので、Cisco、FireEye、F-Secure、iSIGHT Partners、Microsoft、Symantec、ThreatConnect、Tenable、ThreatTrack Security、Novetta、Volexityの11社が参加。「Operation SMN」と名付けられている。

「Backdoor.Hikit」は、中国に拠点を置く攻撃集団「Hidden Lynx」が作成したと見られるリモートアクセスツール(RAT)。Symantecによれば、今回の作戦は、攻撃グループを対象としたものではなく、同マルウェアを対象に展開されたという。

同マルウェアは、侵入したコンピュータにバックドアを設置し、情報を盗み出すほか、さらにマルウェアをダウンロードし、多重感染を引き起こす。政府機関や研究機関、防衛関連企業、航空関連企業などを標的とした攻撃に利用されることが目立っている。

同マルウェアの地域別感染件数を見ると、米国が33%が最多だが、次に多いのが日本で27%にのぼる。さらに台湾が15%で続く。それ以外の地域でも広く被害が発生している。

少なくとも、中国に拠点を置く攻撃グループ「Hidden Lynx」と「Pupa」が攻撃に利用していることが判明しているが、この2グループに何らかの繋がりがあるのかは不明だという。

今回の共同作戦によって、あらたなマルウェア「Backdoor.Gresim」を捕捉。参加したセキュリティベンダーで情報を共有し、マルウェアの封じ込めや、APT攻撃活動の阻止に向けて活動を展開している。

(Security NEXT - 2014/10/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米政府、「Exchange脆弱性」対策で追加指令 - スキャンや対策強化など要請
LINE、国外の個人データ保管やアクセス状況を説明 - 「ポリシー上に記載ある」
三菱電機への不正アクセス、中国子会社での窃取情報を起点に攻撃展開
LINEの報告不十分、資料提出求めつつ精査継続 - 個情委
LINE、中国におけるコミュニケーション関連の開発運用を中止
個情委、個人情報の越境移転や委託先管理でLINEから報告徴収 - 総務省も
約5カ月間、海外現地法人や海外支局に不正アクセス - 日経新聞
「Exchange Server」脆弱性、10グループ以上が悪用か - パッチ公開前にも
「Exchange Server」攻撃で悪用された「China Chopper」の解析情報
「Exchange Server」への攻撃、無差別かつ広範囲に - 米政府が全組織へ注意喚起