Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

標的型攻撃が「Slack」や「GitHub」を悪用 - コード入手やコマンド実行の通知手段に

一方バックドアとして動作する「SLUB」は、「GitHub」からコードをダウンロードしてコマンドを実行するほか、「Slack」のAPIを利用するための認証トークン2件を搭載。感染端末におけるコマンドの実行結果を「Slack」に投稿する。

さらに端末の情報や、スクリーンショットなど取得する機能を備えており、感染端末より収集したファイルは、ファイル共有サービス「file.io」を利用して外部へ送信していた。

またソーシャルネットワークサービスの「Twitter」「Skype」「KakaoTalk」などの関連情報を探索。発見段階でコマンドは実装されていないものの、韓国の主要ワープロソフト「Hangul Word Processor」の拡張子である「hwp」を含むファイルを特定のディレクトリに収集する機能なども含まれる。

今回の攻撃で用いられたダウンローダーや「SLUB」がコンパイルされたタイムスタンプは2月22日となっていたが、悪用された「GitHub」のアカウントや「Slack」のワークスペースは、その直前となる2月19日、20日に作成されたばかりだった。

20190315_tm_002.jpg
攻撃者が用いた通信経路(図:Trend Micro)

(Security NEXT - 2019/03/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

凶暴性増すランサムウェアの裏側 - 今すぐ確認したい「意外な設定」
米政府、イランによるサイバー攻撃の警戒呼びかけ - 大統領選が標的に
米政府、北朝鮮関与「BeagleBoyz」に注意喚起 - 金融機関狙う「FASTCash 2.0」を展開か
標的型メール攻撃で感染する「Konni」に警戒呼びかけ - 米政府
米政府、中国関与「Taidoor」の新情報 - セキュ製品未検知の亜種も
攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃も
「Emotet」の脅威 - 組織やビジネスへの影響を考える
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃
国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも