Quick Heal Technologiesは5月12日(現地時間)、Seqriteブログの「Swan Vector APT: Targeting Taiwan & Japan with DLL Implants」において、日本と台湾を主な標的とするサイバー攻撃を発見したと報じた。

攻撃者は教育機関や機械工学関連の組織に対して偽の履歴書を送付し、ユーザーを操って標的環境に侵入したという。

  • Swan Vector APT: Targeting Taiwan & Japan with DLL Implants

    Swan Vector APT: Targeting Taiwan & Japan with DLL Implants

侵害経路

このサイバー攻撃は発見者のSeqrite研究チームにより「Swan Vector」と名付けられた。初期の感染経路はフィッシングメールに添付された悪意のあるアーカイブファイルとされる。

アーカイブファイルにはPDFファイルに偽装したLNKファイルが含まれており、LNKファイルを開くと画像ファイルに偽装したダイナミックリンクライブラリー(DLL: Dynamic Link Library)が実行される。

DLLはおとりのPDFファイル(空白の履歴書など)をダウンロードして表示し、追加のペイロードを実行して自身を削除する。追加のペイロードはいくつかの処理を介してシェルコードをメモリーにロードして実行する。

  • おとりとして表示されるPDFファイルの例 - 引用:Quick Heal Technologies

    おとりとして表示されるPDFファイルの例 引用:Quick Heal Technologies

最後に実行されるこのシェルコードがペネトレーションテストツール「Cobalt Strike」のビーコンで、攻撃者はこのツールを介して標的環境に侵入する。

  • Swan Vectorの侵害経路 - 引用:Quick Heal Technologies

    Swan Vectorの侵害経路 引用:Quick Heal Technologies

攻撃継続の可能性

研究チームは攻撃に使用されたインプラントを分析することで、コマンド&コントロール(C2: Command and Control)フレームワークとして使用されたGoogleドライブと、そのアカウント情報を発見。

また、このアカウント情報を使用することでGoogleドライブから複数のファイルを取得し、その一覧を公開している。一覧の中には今回の攻撃で未使用のインプラントがあり、研究チームは今後の攻撃で使用する可能性があると指摘している。

そのため国内の企業および組織には、一連の攻撃手法を周知して同様の攻撃に警戒することが推奨されている。Quick Heal Technologiesは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を記事の末尾で公開しており、必要に応じて対策に活用することが望まれている。