Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療業界やサプライチェーン狙う攻撃グループを確認 - 標的はレガシーシステムか

医療業界を狙い、トロイの木馬「Kwampirs」を拡散する攻撃グループ「Orangeworm」が確認された。

シマンテックが明らかにしたもので、米国、ヨーロッパ、アジアなど広い地域の医療関係者を対象としており、少なくとも2015年1月より活動しているという。

20180424_sy_001.jpg
被害端末の分布。グローバル企業の感染により、多くの国で感染が確認された(グラフ:シマンテック)

同グループは、リモートよりコマンド操作が可能となるバックドア型のトロイの木馬「Kwampirs」を感染させることを目的に攻撃を展開。同社では、4月23日にもあらたな亜種を観測している。

感染被害者の国別の分布を見ると、米国が17%で最多。インドとサウジアラビアがいずれも7%、フィリピン、ハンガリー、英国が5%と続く。

日本も2%の感染が観測された。被害者に大手グローバル企業が存在したことから、広い地域で被害が観測されたとしている。

攻撃グループの動機はわかっておらず、国家が関与している形跡も発見されていないという。一方で、攻撃対象を闇雲にしていることもなく、周到な準備の上で攻撃を展開していると同社では分析。

20180424_sy_002.jpg
感染被害が発生していた業界の割合

被害者の業種を見ると39%を医療関係者が占める。さらに製造業、情報技術、農業、ロジスティックスなどでも被害が確認された。

医療関係者以外、関連性が希薄に見える業種も、最終的な目的である医療関係者への攻撃を成功させるため、周辺業界が狙われた可能性がある。

実際にサプライチェーンとして製薬会社、医療向けITベンダー、医療機器メーカーなど関連業界に標的型攻撃が展開されたことも判明しているという。

マルウェアは、レントゲンやMRIなどの医療用画像を処理するソフトウェアなどが稼働する機器上で見つかったほか、医療事務に用いる機器なども狙われていた。

感染するとシステムやネットワークなどの情報を収集するほか、ファイル共有に自身をコピーして拡散する機能なども備えていた。

さらに外部とのコマンド&コントロールサーバとの通信を試みるなど、派手な攻撃が目立ち、シマンテックでは、ひと昔前の手口であると指摘している。

こうした攻撃手法について同社は、「Windows XP」などレガシーシステムでは有効な手段であると説明。医療業界では古いOSが依然として稼働しているケースが少なくないことから、攻撃手法として利用されているのではないかと分析している。

(Security NEXT - 2018/04/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

100社限定で中小企業の「EDR」体験導入を支援 - 東京都
夏季休暇に向けてセキュリティの再確認を - 盆休み直前の月例パッチにも注意
テレワークで機密情報の特例持出が増加 - ルール遵守、半数近くが「自己確認」のみ
「サイバーレジリエンス現状分析サービス」を提供開始 - 日立ソ
インフラ関係者9割超、サイバー攻撃による産業制御システムの中断を経験
大企業の4社に1社、CISO同等ポジションを未設置
「ICTサイバーセキュリティ総合対策2022」の策定に向け意見募集 - 総務省
6月に「IoTセキュリティシンポジウム2022」を開催 - CCDS
まもなくゴールデンウィーク、セキュリティ体制の確認を
子会社リモート接続機器脆弱性が標的に、横展開からランサム - 小島プレス工業