米Trendmicroは9月19日(現地時間)、同社のブログにおいて、日本、イスラエル、インド、米国の防衛産業が受けたセキュリティ攻撃に関する分析結果を発表した。国内では、防衛産業を手がける三菱重工業がウイルス感染を発表している。
同社によると、この攻撃は特定のターゲットを狙う「標的型攻撃」であり、今年7月から、複数の拠点に散在する32台のコンピュータを用いて行われたという。
同社は今回の攻撃の手口を2つの段階に分けて説明している。第1段階において、攻撃者はターゲットのPCに対し、悪意のあるPDFファイルをメールに添付して送信し、Adobe FlashとAdobe Readerの脆弱性を利用してバックドアを仕掛ける。バックドアはC&Cサーバに自身の情報を送信し、攻撃者からのコマンドを待ち受ける。
第2段階では、ターゲットPCが攻撃者にネットワークアドレスと特定のディレクトリのファイル名を報告し、リモートアクセス型のトロイの木馬(RAT)を攻撃者から送り込まれる。このRATは「MFC Hunter」と呼ばれるもの。
|
リモートアクセス型のトロイの木馬「MFC Hunter」のクライアントのインタフェース |
同社は、この攻撃のネットワークは少数のターゲットから構成されているが、被害者は防衛産業の割合が高く、特定のターゲットを狙ってマルウェアが作られていることから、攻撃者の意図性を示しているとコメントしている。
