is702
ニュース

日本を狙うサイバー攻撃キャンペーン「ChessMaster」、攻撃手法がさらに変化

2017/11/13

トレンドマイクロは11月10日、公式ブログで「標的型サイバー攻撃キャンペーン『ChessMaster』の新しい戦略:変化を続けるツールと手法」と題する記事を公開しました。日本の学術界、テクノロジー系企業、報道関連企業、MSP(マネージド・サービス・プロバイダ)、政府機関等を標的とするサイバー攻撃キャンペーン「ChessMaster」(チェスマスター)の最新状況を伝える内容です。

「ChessMaster」は、「ChChes」「RedLeaves」「PlugX」といった遠隔操作ツール(RAT)やマルウェアを利用し、主に日本の法人を攻撃するキャンペーンです。2017年7月頃より活発化していましたが、今回トレンドマイクロは、9月下旬に利用されるツールや手法にいままでになかった変化を確認しました。これらの変化の目的は、攻撃者の特定を逃れることにあると見られています。

これまでの「ChessMaster」では、攻撃の起点は、不正なショートカットファイル(拡張子.LNK)と「PowerShell」でしたが、新しい攻撃手法では、Microsoftの.NETフレームワークに影響を与える脆弱性「SOAPWSDLパーサー(CVE-2017-8759)」を突く文書ファイルが起点になります。この文書ファイルが誤って開かれると、任意のコマンドの実行が、攻撃者により可能となります。そのうえで、最初のバックドア型ウェア(IKORS)が不正なPowerShellスクリプトを実行し、2番目のマルウェア(FA347FEiwq.jpg)をダウンロードして実行します。さらに別のサーバにあるバックドア型マルウェアを読み込もうとします。最終ステップの攻撃は実際には確認されていませんが、これが攻撃者の狙いと考えられます。

こうした多段階にわたる攻撃の過程で、攻撃者は、より詳しく環境を調査していることも判明しました。これは最終的なマルウェアを送り込む前に、攻撃を個別化するためと推測されています。また、リサーチャやサンドボックスによる解析を回避することも目的と考えられます。

このように、サイバー攻撃キャンペーンは日々変化していることがわかります。被害を最小化するために、最新の更新プログラムを定期的に適用すること、不審な活動を検知するセキュリティ対策を導入すること等が必須でしょう。

※1:遠隔操作ツール「PlugX」は、株式会社 地理情報開発から提供されているPlugX(R)シリーズとは無関係な不正なプログラムです。



ChessMasterの感染チェーン<br />

ChessMasterの感染チェーン


  • hi-hoウイルスバスター月額版
  • hi-ho セキュリティサービス
hi-hoウイルスバスター月額版
hi-ho セキュリティサービス