「REDBALDKNIGHT(別名:BRONZE BUTLER、Tick)」は、主に日本の法人を対象として諜報活動を実行するサイバー攻撃集団です。標的には、バイオテクノロジー企業、電子機器製造企業、工業化学企業、および政府関連機関が含まれます。REDBALDKNIGHT の攻撃キャンペーンでは、バックドア型マルウェア「DASERFDASERF(別名:Muirim、Nioupale)」(「BKDR_DASERF」として検出)が利用されています。この DASERF は主に下記のような4つの機能を備えています。
「脆弱性攻撃ツール(エクスプロイトキット)」の2016年動向を振り返ると、主要なエクスプロイトキットが姿を消すなど、大きな変化が見られた年でした。2016年5月から「Nuclear Exploit Kit(Nuclear EK)」が勢いを失い始め、6月には「Angler EK」の関係者50名近くがロシア連邦保安庁に逮捕され、このエクスプロイトキットも姿を消しました。2016年9月には「Neutrino EK」が依頼ベースの提供のみにシフトしたと報じられました。そして現在、最も広く出回っているエクスプロイトキットは「Rig EK」と「Sundown EK」です。両者は「Neutrino EK」が姿を消して間もなくしてから勢いを増し始めました。
特に「Sundown EK」は、他のエクスプロイトキットとは異なる特徴を示していました。このエクスプロイトキットは、旧来のエクスプロイトキットを再利用してはいるようですが、自身を隠ぺいする動作を行ないません。ブラウザ上で動画等が再生される際、通常はブラウザ拡張機能「Silverlight」が拡張子「XAP」のファイルをリクエストします。他のエクスプロイトキットでは、この「Silverlight」の動作を偽装することで自身の存在を隠ぺいしようとします。しかし、「Sundown EK」がホストされたURL ではこのような隠ぺい工作はされず、通常とは異なる、拡張子「SWF」の Flashファイルをリクエストします。また、他のエクスプロイトキットが利用するアンチクローリング機能も備えていません。
続きを読む
