Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は

しかしながら、「WellMess」による国内組織を狙った活動は、2018年初頭以降、新型コロナ感染症の発生前後を含めて観測されていないという。ただし、複数の亜種が確認されており、国内外で同マルウェアが活動している可能性が高いと同社では見ている。

今回のNCSCによるアドバイザリでは、マルウェアに証明書がハードコードされていたとの報告があるが、同社が検知した「WellMess」にそのような検体は含まれておらず、今回の発表が初見だった。

問題の証明書には、国内の認証局である「GMO GlobalSign」の記載が含まれていたとされる。

この点については、同認証局が発行した証明書であるとの証拠などは示されておらず、セキュリティ製品による検知を回避するため、攻撃者が認証局の名前を意図的に証明書で用いた可能性があるとラックでは分析している。

また「WellMess」以外にも「WellMail」「Sorefang」を使用されたとの報告もあるが、これらは今回はじめて明らかにされたマルウェアで、同社においても検知事例はなく、注意深く観測を続けていきたいとしている。

(Security NEXT - 2020/07/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Windowsのゼロデイ脆弱性、開発会社狙う攻撃で発見 - 検体公開後は試行増加
マルウェア「QakBot」の検知が増加 - 窃取メールを悪用か
「Pulse Secure Connect」を侵害するマウルウェアレポート5件を公開 - 米政府
米政府、「Pulse Connect Secure」狙うマルウェアの解析情報
ニップンが基幹アプリ障害で決算発表延期、マルウェア感染か - 子会社も影響
富士フイルム、「ランサムウェア」感染と断定 - 身代金要求には応じず
欧州で拡散するAndroid狙うマルウェア「FluBot」 - 荷物追跡アプリ偽装
「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起