「HAVEX」は「Remote Access Tool(RAT)」で、産業制御システムを狙った攻撃で重要な役目を担っていることが確認されてから、セキュリティ業界で注目されるようになりました。「HAVEX」はセキュリティ企業によって検出名が異なり、「Dragonfly」、「Energetic Bear」、「Crouching Yeti」としても知られています。トレンドマイクロがこの不正プログラムを監視していたところ、興味深い発見がありました。
続きを読むWindows OS に存在するゼロデイ脆弱性「CVE-2014-4114」を利用した諜報目的のサイバー攻撃が、「Sandworm Team」と呼ばれるロシアのサイバー攻撃集団によるものであることは本ブログでも既報です。トレンドマイクロでは、この攻撃に関連した不正プログラムやドメインの解析から、「Sandworm Team」は、GE Intelligent Platform の監視制御パッケージソフトウェア「HMI/SCADA – CIMPLICITY」を主に利用するユーザを標的としている可能性を確認しました。「Sandworm Team」は、CIMPLICITY で使用されるファイル(拡張子 cim およびbcl)を攻撃媒体として利用しました。また、CIMPLICITY を標的としていたさらなる証拠として、これらの不正プログラムは、環境変数「<CIMPATH>」を利用して、侵入した PC内の CIMPLICITY のインストールディレクトリにファイルを作成していました。
 |
