トレンドマイクロは、2012年3月末に公開した、インドや日本を狙う持続的標的型攻撃「Luckycat」に関するリサーチレポートに引き続き、持続的標的型攻撃「IXESHE(アイスシ)」のリサーチレポートを公開しました。
キャンペーン「IXESHE」の注目すべき特徴は、攻撃者が標的となった組織のネットワーク内部にある感染サーバを乗っ取りコマンド&コントロール(C&C)サーバとして悪用していたことです。こうした手口を用いることで、彼ら自身の不正活動を組織内の個人が行う通信と混同させ、自身の存在を隠ぺいすることを可能にしました。この特徴を備えた一例として、トレンドマイクロでは、東アジア圏の政府機関に標的型攻撃を仕掛けやすいように、同国内のネットワーク内部に設置された C&Cサーバを確認しています。また、別の事例では、C&Cサーバからのエラーメッセージを受信。このエラーメッセージにより、本来の C&Cサーバとして役割を果たすバックエンドサーバを隠ぺいするために、フロントエンドサーバがプロキシとして機能していたことが判明しました。
また、今回の調査で、攻撃者は、「ダイナミックDNS」を利用したり、世界中に外部 C&Cサーバを配置したりして、IXESHE に関連する不正プログラムの検出や、彼ら自身の C&Cネットワーク閉鎖を回避していたことも明らかになりました。
キャンペーン「IXESHE」では、関連する不正プログラムが初めて確認されたのは少なくとも2009年7月で、それ以降、持続的標的型攻撃を活発に仕掛けていることが確認されています。また、侵入手段として、”Adobe Acrobat”、”Adobe Reader” および “Adobe Flash Player” に存在する脆弱性を利用する不正な PDFファイルが利用されていました。このような不正ファイルは、標的型メールの添付ファイルとして、標的とする組織に所属する人物に送信されました。
弊社がこの一連の標的型攻撃を調査していくなかで、IXESHE の標的となった組織は、以下のように分類できました。
『持続的標的型攻撃キャンペーン「IXESHE」の全貌』に関する詳細については、以下からレポートをダウンロードしてご一読ください。
https://inet.trendmicro.co.jp/doc_dl/select.asp?type=1&cid=81
 |
参考記事:
by Trend Micro Advanced Threats Researchers
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)
