複数の日系自動車関連企業にサイバー攻撃 - ベトナムのグループ関与か

一連の標的型攻撃に日本語は使用されておらず、直接国内を狙うケースは確認されていない。海外の現地拠点を狙っていると見られ、メールの本文には東南アジア諸国の言語が使用されていた。

さらにマルウェアの感染に利用されるメールへ添付されたいわゆる「おとりファイル」には、一部に消し忘れと見られるベトナム語フォントの痕跡が残存していたという。

ファイルを開くと「テンプレートインジェクション」により、HTTPS経由で外部よりマクロをダウンロード。ファイル上の記載で「IRM」によりファイルが保護されているなどとだまし、コンテンツを有効化させて、悪意あるコードを実行させようとしていた。

マルウェアは直接メモリ上に展開されるため、端末上にファイルとして保存されることはなく、ファイルベースで検知するセキュリティ製品では検知が困難。

またバックドアには、環境情報の取得、コマンドの実行、ファイル操作など、リモートアクセスツール（RAT）として必要とされる主要な機能を備えていた。

（Security NEXT - 2019/04/26 ）ツイート