本ブログでは2019年3月14日公開の記事で、バックドア型マルウェア「SLUB」が過去に実施した一連の拡散活動(キャンペーン)に関する調査結果について詳説しました。そしてその後の継続した調査により、SLUBの新たな亜種を含む水飲み場型攻撃経由の新たなキャンペーンを確認しました。トレンドマイクロではこの新たなキャンペーンを「Operation Earth Kitsune」(アースキツネ)と命名し、2020年10月には調査結果をホワイトペーパー(英語)としてまとめ、公開しました。バックドアSLUBの名称は、コミュニケーションプラットフォーム「Slack」とリポジトリホスティングサービス「GitHub」を悪用していたことから命名されたものですが、新たなバージョンのSLUBではどちらのプラットフォームも悪用されていません。代わりに、オンプレミスでも簡単にデプロイ可能なオープンソースのオンラインチャットサービス「Mattermost」が悪用されました。弊社では、プラットフォームが悪用されている事実について既にMattermost社に報告しています。
![図1:今回のキャンペーンにおける感染の流れ](https://blog.trendmicro.co.jp/wp-content/uploads/2020/11/図1:今回のキャンペーンにおける感染の流れ-1024x621.png)