攻撃者は、中国のサイバースパイ集団に関する最近公開された報告書の偽版を、日本と中国のユーザーを狙った新たなスピアフィッシング攻撃のおとりとして利用している。
この報告書はセキュリティ企業マンディアントが火曜日に発表したもので、2006年以来コメントクルーとして知られるハッカー集団がさまざまな業界の100以上の企業や組織に対して行ってきたサイバースパイ活動の詳細を記録している。
マンディアントはこのグループをAPT1(Advanced Persistent Threat 1)と呼んでおり、報告書の中で、このグループは中国人民解放軍(PLA)の上海を拠点とする秘密サイバースパイ部隊で、コードネームは「Unit 61398」である可能性が高いと主張している。
中国政府はマンディアントの主張を根拠のないものとして否定した。しかし、この報告書はITセキュリティ業界関係者だけでなく、一般の人々からも大きな注目を集めた。
この報道により、攻撃者はこの報告書を新たな標的型攻撃のおとりとして利用することを決意したようだ。
Mandiant レポートを装ったマルウェア
セキュリティ企業Seculertの最高技術責任者アビブ・ラフ氏は、先週、マンディアントの報告書を装った悪意ある添付ファイル付きの電子メールを使った2件のスピアフィッシング攻撃が発見されたと述べた。
ある攻撃は日本語ユーザーを標的とし、「Mandiant.pdf」という添付ファイル付きのメールが使用されました。Seculertのセキュリティ研究者はブログ記事で、このPDFファイルはAdobe Readerの脆弱性を悪用しており、Adobeは水曜日の緊急アップデートでこの脆弱性を修正したと述べています。
このエクスプロイトによってインストールされたマルウェアは、韓国にホストされているコマンドアンドコントロールサーバーに接続するが、セキュリティ製品を騙す目的でいくつかの日本のウェブサイトにも接続するとSeculertの研究者らは述べている。
シマンテックもこのスピアフィッシング攻撃を検知し、分析しました。「このメールは、報道機関の関係者がレポートを推奨しているように見せかけています」と、シマンテックの研究員である浜田丈二氏はブログ記事で述べています。しかし、日本人であれば、このメールが日本語を母国語とする人によって書かれたものではないことは明らかだと同氏は述べています。
浜田氏は、過去にも同様の手口が使われてきたと指摘した。2011年に起きたある事件では、ハッカーがシマンテックが公開した標的型攻撃に関する調査論文を餌として利用した。「彼らは、ホワイトペーパーそのものと、アーカイブ添付ファイルに隠されたマルウェアを標的にスパム送信することで、この手口を実行したのです」と浜田氏は述べた。
古いAdobeの欠陥を悪用
2 番目に検出されたスピアフィッシング攻撃は、中国語を話すユーザーを標的とし、「Mandiant_APT2_Report.pdf」という悪意のある添付ファイルを使用します。
セキュリティコンサルタント会社9b+の研究員ブランドン・ディクソン氏がPDFファイルを分析したところ、この文書は2011年に発見され修正された古いAdobe Readerの脆弱性を悪用していることが判明した。
ディクソン氏はメールで、システムにインストールされたマルウェアは、現在中国のサーバーを指しているドメインへの接続を確立すると述べた。「このマルウェアは、攻撃者に被害者のシステム上でコマンドを実行する能力を提供します。」
Seculertのラフ氏によると、このマルウェアがアクセスしたドメイン名は、過去にもチベット活動家を標的とした攻撃で使用されていたという。これらの過去の攻撃では、WindowsとMac OS Xの両方にマルウェアがインストールされたという。
政治的動機に基づくマルウェア攻撃を追跡するセキュリティ企業MalwareLabの研究員、グレッグ・ウォルトン氏はTwitterで、Mandiantを題材にしたスピアフィッシング攻撃は中国のジャーナリストを標的にしていたと述べた。この情報はラフ氏とディクソン氏からは確認できなかった。両氏は、元のスパムメールのコピーは持っておらず、含まれていた悪意のある添付ファイルしか持っていないと述べた。
