「Thrip」が衛星通信や防衛産業を標的に - 中国国内の端末から操作

また地理空間画像の処理と地図作成を業務とする事業者の運用システムで、GIS（地理情報システム）ソフトウェアが稼働している端末も標的としていた。

当初、同グループは独自のマルウェアを用いて攻撃を展開していたが、2017年ごろより、OSが提供する「PsExec」「PowerShell」や端末に導入されていた通信アプリ「WinSCP」「LogMeIn」などと、「Mimikatz」といったツールやカスタムマルウェアを併用しているという。

発覚をおそれてか、カスタムマルウェアを用いるのは、特定の端末に狙いを絞った際で、トロイの木馬「Rikamanu」や、同マルウェアをベースとした情報を盗み出すマルウェア「Catchamas」をはじめ、キーロガー「Mycicil」や、バックドア「Spedear」などを用いていた。

攻撃対象の業種（画像：Symantec）

（Security NEXT - 2018/07/04 ） ツイート

PR

関連記事

システム障害が発生、ランサム被害か - フェースグループ
「FortiOS」の「SSL VPN」脆弱性に関するアドバイザリを更新
FWやVPNの認証情報を攻撃者が大量保有 - 「FortiBleed」に要警戒
スポーツ教室当選者宛てメールで誤送信 - 取消機能で再発
海外グループ会社のメルアカに不正アクセス - 大気社
5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
サーバに不正アクセス、侵害経路や影響を調査 - ソディック
宿泊予約サービスの口座情報が改ざん、不正送金被害 - ポラリスHD
グループ会社2社でランサム被害 - 青山財産ネットワークス
「Samba」にRCEなど6件の脆弱性 - 修正パッチを公開