ESTsecurityは企業の担当者を狙った巧妙なスピアフィッシング(spear phishing・特定の標的を定めて行う情報窃取攻撃)攻撃を捕捉したとして、企業に注意を呼びかけた。
ESTsecurityは、ESTsecurity対応センター(ESRC)で運用中の高度標的型持続攻撃(APT)検知システムを通じて「個人情報流出台疑確認要請」という題材を悪用した標的型悪性メール攻撃を捕捉したと15日に明らかにした。
今回の攻撃は、不特定多数にマルウェアを無差別にばらまいていた過去の方式と異なり、特定企業の実務担当者と複数回にわたり正常なメールをやり取りして信頼を築いた後、悪性ファイルを実行させるよう誘導する典型的な「ソーシャルエンジニアリング」手法を活用したことが特徴だ。
攻撃者は最初の試みでメール内の悪性リンクが企業のセキュリティソリューションにより遮断されると、担当者に「自社セキュリティチームの検査結果、異常はなく誤検知とみられる」と安心させたうえで、ワクチン監視を回避するためにパスワードが設定された圧縮ファイルの形でマルウェアを再送した。
ユーザーが解凍し、一般文書に偽装された悪性のWindowsショートカット(LNK)ファイルを実行すると、バックグラウンドで32ビットPowerShellが強制呼び出しされ、一部のセキュリティソリューションの検知を回避する。ユーザーの目には正常なExcelやPDFの顧客現況文書が表示されるが、実際にはシステム情報を窃取し、追加の悪性行為を実行する構造だ。
ESRCは収集した悪性サンプル3種を精密分析した結果、いずれも同一の内部構造とおとり文書(顧客現況に偽装)を共有していたと説明した。さらに、これは北朝鮮連携ハッキング組織であるキムスキ―(Kimsuky)の典型的な攻撃手法と類似していると付け加えた。
ESRC関係者は「今回の攻撃はセキュリティ担当者の最大の関心事であり弱点でもある『個人情報流出』を名分として疑いを避けた」と述べ、「発信者が外部の人物である場合、会話が自然に続いたとしても、添付ファイルやリンクを実行する際には格別の注意が必要だ」と語った。
続けて「セキュリティソリューションが一度遮断したファイルについて、相手が誤検知だとしてパスワード付き圧縮ファイルで再送してくる場合は明白な攻撃のシグナルであるため、決して実行してはならない」と強調した。