Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療情報狙う攻撃 - 新型コロナ前後の国内観測動向は

しかしながら、「WellMess」による国内組織を狙った活動は、2018年初頭以降、新型コロナ感染症の発生前後を含めて観測されていないという。ただし、複数の亜種が確認されており、国内外で同マルウェアが活動している可能性が高いと同社では見ている。

今回のNCSCによるアドバイザリでは、マルウェアに証明書がハードコードされていたとの報告があるが、同社が検知した「WellMess」にそのような検体は含まれておらず、今回の発表が初見だった。

問題の証明書には、国内の認証局である「GMO GlobalSign」の記載が含まれていたとされる。

この点については、同認証局が発行した証明書であるとの証拠などは示されておらず、セキュリティ製品による検知を回避するため、攻撃者が認証局の名前を意図的に証明書で用いた可能性があるとラックでは分析している。

また「WellMess」以外にも「WellMail」「Sorefang」を使用されたとの報告もあるが、これらは今回はじめて明らかにされたマルウェアで、同社においても検知事例はなく、注意深く観測を続けていきたいとしている。

(Security NEXT - 2020/07/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
「Emotet」感染後の対応、「駆除」だけでは不十分
ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場
ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開
攻撃グループ「Lazarus」のマルウェア情報を公開 - JPCERT/CC
ソフト開発会社がマルウェア開発か - ソフォスが指摘
「Emotet」で10億円以上荒稼ぎか - インフラ維持に5000万円
「Emotet」を追い詰めた「Ladybird作戦」 - 攻撃者がバックアップ保有の可能性も
欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも
北朝鮮グループ「Lazarus」が悪用する10種類のツール