Doctor Web Pacific 江川です。
JPCERTで表記の情報が公開されましたので、ご紹介します。
JPCERT/CC: Japan Computer Emergency Response Team Coordination Centerは11月26日に公表した「正規サービスを悪用した攻撃グループAPT-C-60による攻撃」において、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻撃を確認したことを公表しています。
また、その攻撃手法について詳細を解説し、注意喚起を行っています。
このサイバー攻撃は、求職者を装い組織の採用担当者にマルウェアを送信したとされています。
【侵害経路】
この攻撃では、フィッシングメールが使用されており、メールに記載されているGoogleドライブへのリンクからファイルをダウンロードする形式になっております。
Googleドライブからマルウェアが含まれた「VHDXファイル」をダウンロードさせる仕組みです。
VHDXファイルには悪意のあるLNKファイルが含まれており、開くとおとり文章を表示するとともにバックグラウンドでマルウェアローダーを展開、永続化します。
マルウェアローダーはBitbucketおよびStatCounterから後続のペイロードをダウンロードする機能を持っていました。
【バックドア「SpyGrace」の概要】
8月にESETの研究者によって「SpyGrace」として初めて特定された最終的なペイロードは、バックドアマルウェアになります。
この亜種 (バージョン 3.1.6) は、ネットワーク接続の確認や特定のディレクトリからのファイルの起動など、複数のコマンドを実行することで初期化されます。
バックドアは、プライマリ プログラムが起動する前に intterm 関数を使用して悪意のある操作を実行するなどの高度な手法も採用しています。
そして主な機能は以下になります。
ファイル、ディレクトリの一覧窃取
ファイル、ディレクトリの削除
ファイルのアップロード、ダウンロード
ダイナミックリンクライブラリ(DLL: Dynamic Link Library)のロード
プロセス一覧の窃取
プロセスの操作
ディスク情報の窃取
スクリーンショットの窃取
リモートシェル
【影響と対策】
今回用いられたおとりの文章から、標的は日本、韓国、中国を含む東アジア地域の組織とみられています。
PCERT/CCは、日本国内の組織も標的になっているとして注意を喚起し、組織のセキュリティ担当者は、初期の侵害経路として使用された標的型フィッシングメールや採用担当者を狙う攻撃手法などについて周知し、攻撃で使用された検体および通信先は、Appendixにて確認することができるこが紹介されています。
詳しくはニュース本文をご確認ください。
(続きは以下をご覧ください)
https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html
