シマンテックは11月13日、同社のセキュリティ・ブログにおいて、ジャストシステムが一太郎製品群(日本語オフィススイート)のゼロデイ脆弱性を修正するプログラムを公開したのに伴い、この脆弱性を悪用した攻撃について解説した。
今回の攻撃では、悪質な一太郎文書ファイルが添付された電子メールが標的の組織に送信され、ペイロードにBackdoor.Emdivi、Backdoor.Korplug、Backdoor.ZXshell が含まれている可能性があり、これらはすべて侵入先のコンピュータから機密情報を盗み取るためのものだという。
悪質な添付ファイルを一太郎で開くと、ペイロードが投下されるとともに文書が表示される。今回の攻撃では、一太郎をクラッシュさせることなく文書を開いてペイロードを投下するため、被害者はバックグラウンドで起こっていることに気が付かない。
攻撃に用いられる電子メールの内容は、標的となる組織の業務に応じて異なるが、いずれも最近の日本における政治的な出来事に関するものとのことだ。
最近の攻撃に用いられた電子メールでは、本文に、医療費の通知が添付ファイルに含まれていることが記載され、添付ファイルをWindowsコンピュータで開くよう求めている。zip内のファイルはMicrosoft Wordのアイコンが表示されているが、実際には悪質な実行可能ファイルとなっている。
|
|
攻撃に使用された電子メールの例 |
添付されている「文書」は実際には悪質な実行可能ファイル |
同社は、今回の攻撃を実行しているグループは、LadyBoyleの実行グループやHiddenLynxなど、他の悪名高い攻撃グループと密接なつながりがあると指摘している。今回の攻撃は、2011年から確認されており、日本の組織を狙って執拗に活動を継続しているという。
同社のセキュリティレスポンスは今後も攻撃グループの動向を注意深く監視していくとしている。
