セキュリティ企業AlienVaultの研究者らによると、一部は航空宇宙産業を狙った電子メールベースの新たな攻撃により、情報窃取マルウェア「Sykipot」の新しい亜種が拡散しているという。
「ここ数週間、Sykipotキャンペーンの新たな波が進行していることを検出しました」と、AlienVault Labsのマネージャー、ハイメ・ブラスコ氏は月曜日のブログ投稿で述べた。「新たなSykipotキャンペーンと以前のキャンペーンにはいくつかの違いがあります。」
ブラスコ氏は水曜日、これらの攻撃が中国で発生したことを示唆する手がかりはあるが、100%確実に確認することはできないと述べた。
新たな攻撃で送信された不正な電子メールは、Adobe Reader、Microsoft Excel、または Internet Explorer の脆弱性を悪用して Sykipot をインストールする悪質な添付ファイルを配布しなくなりました。
代わりに、2011 年の Flash Player の脆弱性、または Microsoft XML Core Services (MSXML) のまだ修正されていない脆弱性を悪用してマルウェアをインストールする、侵害された Web サイトへのリンクが含まれています。
MSXMLの脆弱性は、6月の攻撃で悪用されたと考えられており、GoogleはGmailユーザーに対し、国家主導の攻撃について警告を発しました。Microsoftは6月12日にこの脆弱性に対する手動修正をリリースしました。
しかし、これを悪用した攻撃が増加しているため、同社はできるだけ早く適切な自動セキュリティパッチを提供する必要があるとブラスコ氏は述べた。
Sykipot トロイの木馬プログラムは、過去 1 年間、米国連邦政府機関、防衛関連請負業者、および機密データをコンピューター システムに保存しているその他の組織に対する標的型攻撃で使用されていました。
新たな Sykipot 攻撃キャンペーンの 1 つは、航空宇宙の専門家、学者、軍人、業界リーダーを対象とした会議である 2013 IEEE 航空宇宙会議への潜在的な参加者をターゲットにしていました。
Sykipotの各亜種は特定の標的グループ向けにカスタマイズされているとBlasco氏は述べた。例えば1月には、AlienVaultの研究者が、防衛分野のアクセス管理に広く使用されているPC/SC x509スマートカードに基づく二要素認証を回避するように設計されたバージョンを発見した。
最近の攻撃で拡散されたSykipotの亜種は、設定ファイルに若干改変された難読化を施し、SSL経由でコマンド&コントロール(C&C)サーバーと通信します。Blasco氏によると、これらの亜種が接続するC&Cドメインは過去1ヶ月以内に登録されたものです。
