シマンテックは1日、トロイの木馬型マルウェアDaserfへの感染を目的とし、サイバー犯罪グループが日本企業を狙っているとして、公式ブログで注意を喚起した。

攻撃を確認しているのは、同社が「Tick」と呼んでいるサイバー犯罪グループ。少なくとも10年間は水面下で活動を続け、複数の日本企業への攻撃を行っているという。Daserfは同グループが開発した独自のマルウェアで、感染したPCのから情報を取得し、攻撃者へ転送する機能を持つ。

地域別のDaserf感染数(図:シマンテック)

直近の大きな攻撃は2015年7月で、国内3つのWebサイトに対しFlash(.SWF)の脆弱性を悪用した水飲み場型攻撃が仕掛けられた。このWebサイトにアクセスしたユーザーは、Gofarerとして知られるダウンローダに感染。GofarerはPC内の情報を攻撃者へ不正送信した上で、DaserfをPCにインストールする。

また、特定の相手を標的に、重要なデータや個人情報を収集するスピア型フィッシングメールによる攻撃も行われ、その際はOffice文書に存在する脆弱性(CVE-2014-4114)を悪用するコードが使用されていたという。

Daserfは感染すると、C&Cサーバ(感染PCの制御や命令発信を担うサーバ)へのリモート接続を確立して感染PCのシステムにアクセスできる状態を作り出し、権限レベルの昇格を図る。最終的な目的は、標的企業から重要なデータを盗むこと。なお、解析したマルウェアの多くはデジタル署名なしのものだったが、ごく一部では盗み出されたデジタル証明書で署名されていたという。

標的は日本のテクノロジ系、エンジニアリング系、報道系の大手企業など。特定の企業で、最長で18カ月、平均5カ月の間、感染されたPCで活動が続いていたとする。シマンテックは今後もTickが日本のテクノロジ産業やメディア、報道業界に関心を持っており、特定分野への攻撃が続くとみている。

日本への攻撃で見つかった感染経路(図:シマンテック)