« 検証用コードサイニングEXEと無署名EXE | メイン | PEヘッダでパッカーの有無を見分ける方法 »

2014年1月23日 (木)

ロシアの攻撃者(Energetic Bear)による日本への攻撃

一部で既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、ロシアを拠点とする攻撃者が、日本を含む欧米・アジアに対し、攻撃活動を行った証拠を入手したことを明らかにしています。読者の皆様に注意喚起を促すことを目的に、CrowdStrike社による調査内容の一部を記載致します。

この攻撃者は、CrowdStrike社によってEnergetic Bearと呼称されており、過去の攻撃活動で、一部の国のエネルギー関連産業を狙った事実から、ロシア政府のエネルギー外交との関連が疑われています。つまり、攻撃の背後にロシア政府の存在が示唆されています。

今回の攻撃活動では、WordPressを使っている正規のWebサイトを攻撃し、C2サーバとして利用していたことが確認されました。つまり攻撃者自身が構築したC2サーバではなく、正規のWebサイトをC2サーバとして利用しており、中には日本企業のWebサイトも攻撃用インフラの一部に組み込まれたことを確認しております。

また、改ざんされ、マルウェアを仕込まれた日本企業のWebサイトは、ロシア関係のビジネスを行っている企業のWebサイトであることも分かっており、意図を持った改ざんであることが伺えます。

攻撃には、下記の脆弱性が利用されていますので、お使いのソフトウェアを最新の状態にしておくことをお勧めします。(IE、Firefox、Java、Flash Player)

CVE-2013-1347

CVE-2013-1690

CVE-2012-1723

CVE-2012-2034

CIS諸国関係のビジネスをしている方は、特に気を付けて頂きたいと思います。

また公開できる情報が入り次第、お伝えします。

« 検証用コードサイニングEXEと無署名EXE | メイン | PEヘッダでパッカーの有無を見分ける方法 »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat