BlackTechの活動と過去の攻撃活動を比較 TrendMicro社

台湾を拠点とし、日本や香港 等の東アジア地域でサイバー諜報活動を行う攻撃グループ「BlackTech」の攻撃の手口を分析しているTrendMicro社は、過去の攻撃キャンペーンとの比較を行った上で発見したそれらの類似性について、平成29年7月4日に同社がWebサイト上で公表しました。


引用元:http://blog.trendmicro.co.jp/archives/15393

概要

BlackTechは標的が所有する技術を窃盗するために攻撃活動を行っている可能性があるとのことで、その理由は、彼らが利用するC&Cサーバドメイン名から読み取れるとのことです。
同社は、BlackTechの攻撃手法等の変化を分析したところ、異なるサイバー犯罪者による攻撃キャンペーンとして処理されてきた「PLEAD」「Shrouded Crossbow」「Waterbear」のそれぞれの間に、複数の共通点を発見しました。

 

共通点

下の画像からは、3つの攻撃キャンペーンにてマルウェアが同一のC&Cサーバへ通信していたことがわかります。
また、KIVARSの亜種が使用するドメイン「microsoftmse.com」にはIPアドレス「211.72 .242.120」もホストとして属します。


引用元:http://blog.trendmicro.co.jp/archives/15393

下の画像は、PLEADShrouded CrossbowKIVARSによって攻撃された標的が同一であった事例です。


引用元:http://blog.trendmicro.co.jp/archives/15393

下の画像はPLEADShrouded CrossbowKIVARSWaterbeargが狙った標的が同一であることを示しています。


引用元:http://blog.trendmicro.co.jp/archives/15393

別の集団が同時に攻撃を仕掛けた可能性もありますが、その場合でも、少なくとも何らかの協力関係があったと考えるのが自然です。

このことから、同じC&Cサーバの利用、連動した活動、同じ不正ツールの利用やその手法、及び目的の類似性から、当該3つのキャンペーンは同一のサイバー集団によるものではないかと同社は見解を述べています。

これら3つの攻撃キャンペーンは現在進行形で活動しているとのことで、TrendMicro社は、特に企業へ向けて対策を講じるよう注意するよう呼びかけています。 

 

関連リンク

マルウェアについての報告一覧

TrendMicro社による報告一覧

マルウェア感染50の挙動

産業制御システムを標的とする脅威 ESET社

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop