活発な動きを見せるイランの「Chafer」 - サプライチェーン上流を標的に

従来は改ざんしたウェブサイトを通じてマルウェアを拡散していたが、2017年ごろより細工した表計算ファイルを添付した標的型攻撃メールで感染を広げているという。

送りつけられたファイルを誤って開くと、「VBスクリプトファイル」がダウンロードされ、「PowerShellスクリプト」を実行。数時間後にドロッパーが作成され、情報を盗み出すためのツールがインストールされるしくみだった。

感染後は、ログイン情報やキーボードからの入力情報にくわえ、クリップボード内のデータやスクリーンショットなどが窃取されるおそれがある。

攻撃者は複数のドメインやIPアドレスを利用しており、シマンテックがこれらサーバを調査したところ、被害者より窃取したファイルにくわえ、オープンソースを利用したあらたな攻撃ツールなども確認されたという。また攻撃で利用されたIPアドレスは、別の攻撃グループ「Crambus」が利用しているものと同一で関係性が疑われている。

（Security NEXT - 2018/03/19 ） ツイート

PR

関連記事

IoT製品のセキュ評価制度「JC-STAR」 - 4レベルで認証、取消もあり
先週注目された記事（2024年9月1日〜2024年9月7日）
イラン政府が支援する攻撃グループ、ランサム攻撃者ともつながり
脆弱な「VMware ESXi」、グローバルで2万台以上が稼働か - 国内でも
水道局の制御機器を狙うサイバー攻撃が発生 - 米当局が注意喚起
「ChatGPT」に便乗、偽アプリが出回る - 実際は情報盗むマルウェア
コロナ検査事業利用施設宛のメールで誤送信 - 滋賀県
ウクライナ狙う破壊マルウェア、正規ソフトを悪用
米英豪、イランのAPT活動に注意喚起 - 「Fortinet」「Exchange」の脆弱性が標的
ソフト開発会社がマルウェア開発か - ソフォスが指摘