2018年平昌冬季オリンピックを妨害しようとしたOlympic Destroyer。この高度なサイバー犯罪グループが戻ってきたようです。Kaspersky Labのエキスパートは先日、Olympic Destroyerに似た活動の痕跡を発見しました。しかし、今回の標的になっているのはロシアの金融機関、そしてオランダ、ドイツ、フランス、スイス、ウクライナにある生物化学脅威対策の研究所でした。
何が起きているのか?
最初のOlympic Destroyerは、非常に巧妙な偽装手口を利用していました。1つは、マルウェアがひそかに埋め込まれた、本物らしくて説得力のあるおとり文書の使用。また、攻撃用ツールがセキュリティ製品に発見されないように、難読化メカニズムを実装していました。一番の特徴は、さまざまな偽旗を使って脅威分析を難しくしていたことです。
今回発見した新たな脅威では、最初のOlympic Destroyerで使われたツールと似たペイロードを持つ、新しいタイプのスピアフィッシング文書が見つかっています。ワームであるという証拠はまだ見られませんが、これまでに発見した文書は、予備調査段階であることを示す可能性があります(2017年にもサイバー妨害活動の前に予備調査段階がありました)。マルウェアとそのインフラの技術的情報、脅威存在痕跡(IoC)については、Securelistの記事(英語)をご覧ください。
新たな標的
特筆すべきは、この新種マルウェアの標的です。当社がおとり文書を解析したところ、今回サイバー犯罪者が侵入を試みていたのは、生化学関連の脅威対策について研究する機関でした。ロシアの金融機関も新たに標的となりましたが、金融機関を狙ったのも偽旗作戦の一環なのかもしれません。
文書はスクリプトが難読化されていただけでなく、「Spiez Convergence」(スイスで開催された生化学脅威研究者の会合)、英国でセルゲイ・スクリパリ(Sergei Skripal)氏とその娘に対して使用されたとみられる神経ガス、ウクライナ保険省令についての記載があります。
企業への影響
フィッシングによって拡散する脅威については、不審な文書を開く前によく考えることをお勧めしています。しかし、今回の攻撃では不審とは見えない文書が使われており、この方法では対処しきれません。
このスピアフィッシング攻撃で使われるおとり文書は、標的に合わせて作り込まれています。今回の標的と思われる企業や組織への推奨事項は限られてきますが、セキュリティ監査を臨時に実施することをご検討ください。また、信頼できるセキュリティソリューションの導入も対策の1つとなります。当社の製品は、Olympic Destroyer関連のマルウェアを検知してブロックします。