JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月26日、「正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、2024年8月ごろに観測された国内組織に対するサイバー攻撃について詳細を解説し、注意を喚起した。

このサイバー攻撃は脅威グループ「APT-C-60」によるものとみられ、求職者を装い組織の採用担当者にマルウェアを送信したとされる。

  • 正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

    正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

侵害経路

この攻撃では、初期の侵害経路としてスピアフィッシングメールが使用された。メールにはGoogleドライブへのリンクが記載され、仮想ドライブ形式の「VHDXファイル」をダウンロードさせたという。

  • 初期の侵害経路 - 引用:JPCERT/CC

    初期の侵害経路  引用:JPCERT/CC

VHDXファイルには悪意のあるLNKファイルが含まれており、開くと、おとり文章を表示するとともにバックグラウンドでマルウェアローダーを展開、永続化する。マルウェアローダーはBitbucketおよびStatCounterから後続のペイロードをダウンロードする機能を持つ。

  • マルウェアローダーの動作 - 引用:JPCERT/CC

    マルウェアローダーの動作 引用:JPCERT/CC

バックドア「SpyGrace」の概要

配布が確認された最終ペイロードは、ESETにより「SpyGrace」と名付けられたバックドアとされる。主な機能は次のとおり。

  • ファイル、ディレクトリの一覧窃取
  • ファイル、ディレクトリの削除
  • ファイルのアップロード、ダウンロード
  • ダイナミックリンクライブラリ(DLL: Dynamic Link Library)のロード
  • プロセス一覧の窃取
  • プロセスの操作
  • ディスク情報の窃取
  • スクリーンショットの窃取
  • リモートシェル

影響と対策

今回用いられたおとりの文章から、標的は日本、韓国、中国を含む東アジア地域の組織とみられている。攻撃にはBitbucketおよびStatCounterなど正規サービスが使用されており、複数のセキュリティベンダーなどから同様の攻撃が報告されている(参考:「ESET Research: Spy group exploits WPS Office zero day; analysis uncovers a second vulnerability | ESET」)。

JPCERT/CCは、日本国内の組織も標的になっているとして注意を喚起した。組織のセキュリティ担当者は、初期の侵害経路として使用されたスピアフィッシングメールや採用担当者を狙う攻撃手法などについて周知することが望まれている。