露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
また同アドバイザリでは、攻撃に「Golang」や「.NET」で作成された「WellMess」や「WellMail」など、カスタムマルウェアが用いられていたことを明らかにした。
「WellMess」は、国内組織においても感染が確認されているマルウェア。2018年6月にJPCERTコーディネーションセンターやラックが、解析し、挙動の詳細などを報告している。マルウェアの関数に特徴が見られ、関数名から「WellMess」と名付けられた。
「HTTP」「TLS」「DNS」といったプロトコルによる通信に対応。任意のシェルコマンドを実行したり、ファイルのアップロードやダウンロードを行う機能を備えている。
今回のアドバイザリで、「IoC(Indicators of Compromise)」としてマルウェアのハッシュ値32件が公開されたが、これらには、2018年にJPCERT/CCやラックによって観測されたハッシュ値4件のいずれも含まれていた。
一方、「WellMess」に関連する通信先のIPアドレスについては、2018年に国内で確認された6件のうち、JPCERTコーディネーションセンターが公表した3件は、今回のアドバイザリにある49件には含まれていない。
(Security NEXT - 2020/07/17 )
ツイート
関連リンク
PR
関連記事
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は