ミャンマー政府関連サイトで水飲み場攻撃 - 新種RAT「Trochilus」など複数マルウェア
ミャンマーの政府関連サイトが、複数のマルウェアへ感染させるための水飲み場攻撃に悪用されたことがわかった。新種のトロイの木馬「Trochilus」が発見されたという。
同マルウェアについて報告した米Arbor Networksによれば、「Trochilus」は組織内部に感染し、外部と通信するトロイの木馬。遠隔操作が可能で感染すると情報漏洩といった被害が生じる可能性がある。
ミャンマー選挙管理委員会のサイトでは、2015年8月ごろにマルウェアが見つかり、その後の調査で同年10月に「Trochilus」をはじめ、「PlugX」「EvilGrab」「9002 RAT」の亜種など7種類のマルウェアが見つかった。
「Trochilus」は、8月より感染する可能性があったが、当時は主要セキュリティ対策ソフトで検知できない状態だったという。今回の攻撃以外に感染報告は確認されていない。
ミャンマーの政府関連サイトは、繰り返し水飲み場攻撃の踏み台になっている。2015年6月にも「EvilGrab」へ感染させようとしたケースを、Palo Alto Networksが報告している。
「EvilGrab」は、2013年に確認されたマルウェア。日本や中国に対する標的型攻撃で利用されたこともある。Palo Altoが確認した攻撃では、ミャンマー大統領府のDrupalのテーマに「iframeタグ」が埋め込まれた。
今回、あらたな水飲み場攻撃を確認したArborは、攻撃者について攻撃の継続状況や保有するリソースなど踏まえると、一定の規模を持つ組織が関与していると指摘。攻撃者はミャンマー経済特別区(SEZ)に関心を持っており、「グループ27」として知られる組織によるものと分析している。
(Security NEXT - 2016/01/18 )
ツイート
関連リンク
PR
関連記事
サービス終了した「Visionalist」のタグ、約800サイトに残存 - 一時水飲み場攻撃と同じスクリプトも配信
米政府、悪用済み脆弱性リストに15件を追加
さよなら「Adobe Flash Player」 - 2020年末でサポート終了
米政府、北朝鮮関与「BeagleBoyz」に注意喚起 - 金融機関狙う「FASTCash 2.0」を展開か
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
MS月例パッチが公開、脆弱性35件を修正 - 一部ですでに悪用も
「Windows」ゼロデイ脆弱性、「Chrome」狙う水飲み場攻撃で悪用
「Chrome」ゼロデイ脆弱性、水飲み場攻撃「WizardOpium作戦」に悪用
標的型攻撃が「Slack」や「GitHub」を悪用 - コード入手やコマンド実行の通知手段に
エネルギー産業狙う攻撃グループ、年頭より攻撃活発化 - 制御システムへのアクセス狙う