露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連

またNCSCでは一連の攻撃で「WellMess」に類似し、コマンドやスクリプトを実行するあらたなマルウェアを発見した。通信するコマンド＆コントロール（C＆C）サーバの情報がハードコードされていたという。同マルウェアには、ファイルパスに「mail」との文字列があり、25番ポートを利用していたことからNCSCでは「WellMail」と命名している。

C＆Cサーバとの通信にハードコードされたSSL/TLS証明書を使用。証明書のサブジェクト鍵識別子（SKI）には「GMO GlobalSign」の文字列が含まていた。

NCSCは、引き続き、ワクチンの研究開発に関連する組織が標的とされる可能性があり、アドバイザリで示した脅威情報をもとに対処するよう注意を喚起。マルウェアの「ハッシュ値」「IPアドレス」「Yaraルール」などを公表し、攻撃に警戒するよう呼びかけている。