Enterprise

企業

2019.06.06 投稿者: ブログチーム

正規ツールによる隠蔽工作、マルウェアによる「Slack」の悪用(1)

正規ツールによる隠蔽工作、マルウェアによる「Slack」の悪用(1)

“トレンドマイクロは、2019年2月下旬、新しいバックドア型マルウェア「SLUB」を送り込み感染PCから情報を窃取する攻撃を確認しました。この攻撃は、改ざんしたWebサイトに攻撃コードを仕込む「水飲み場型攻撃」によって対象PCを感染させ、リポジトリホスティングサービス「GitHub」およびコミュニケーションプラットフォーム「Slack」を利用してコマンド&コントロール(C&C)通信を行います。”

(『正規ツールによる隠蔽工作、マルウェアによる「Slack」の悪用』 2019年3月14日 トレンドマイクロ セキュリティブログ)

2019年3月、セキュリティソフトメーカーのトレンドマイクロは、新型のマルウェア「SLUB」において、GitHubやSlackといったサードパーティーによるプラットフォームが利用されていたことを発表しました。

マルウェア「SLUB」は、「Slack」と「GitHub」から文字を取って命名された新型で、改ざんされたWebサイトからPCに感染します。そして、外部サービスから実行コードをダウンロードして感染PC内の情報を収集し、実行結果を外部サービスに送信していました。

本件では攻撃者の特定には至らなかったものの、攻撃に使われたサービスへの報告は終了しています。また、サービス提供元によって、攻撃に使われたアカウントやコードは削除対応が行われています。

改ざんが行われたサイトの特性や収集された情報の種類から、政治に関心があり、特に人に対する情報に攻撃者の関心があったようです。

本件の特筆すべき点は、サードパーティによるオンラインのプラットフォームが攻撃スキームに組み込まれている点です。GitHubは実行コマンドの確認、Slackは実行したコマンドや結果の報告のためにそれぞれ使われています。また、圧縮して収集されたファイルはオンラインストレージで受け渡されていたことが確認されています。

SLUBの攻撃スキームでは、攻撃者は使い捨てのメールアドレスがあれば痕跡をほとんど残すことなく攻撃が可能であり、追跡が難しくなっています。

標準型攻撃は年々攻撃が高度化しており、入念な準備のもとで行われる傾向にあります。本件は新たなサイバー攻撃スキームとしての応用が危惧されており、専門家は注意を促しています。

(2)へつづく

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top