著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は2件のトピックを取り上げる。新たに確認されたサイバー攻撃「kiya」と、LINEの不正ログイン被害である。
メールをきっかけに攻撃を展開(2月21日)
NTTセキュリティは、建築業界を狙ったサイバー攻撃を確認し、その調査結果を2020年2月21日と3月2日に公開した。サイバー攻撃に使われたフィッシングメールを入手し、その分析により攻撃全体の流れを把握したとする。
同社は、攻撃者がリモート操作時に使うファイル名「kiya.csv」から、今回の攻撃を「kiya」と名付けた。kiyaは、ユーザーがフィッシングメールに添付されたファイルを実行することがきっかけになる。そして「Koadic」「PowerSploit」「Cobalt Strike」といったよく知られた攻撃ツール(ペネトレーションツール)を使い、「Dridex」と呼ばれるマルウエアへの感染につなげる動きがあるとしている。
kiyaの特徴として、ウイルス対策ソフトが検知できないことを挙げている。同社はkiyaに使われたマルウエアの初期サンプルを3つ入手。入手直後にマルウエア検査サイトVirusTotalで調べたところ、同サイトに登録された50以上のウイルス対策ソフトすべてで検知できなかったとしている。
数日すると2つのマルウエアは一部のソフトで検知されるようになったが、残る1つのマルウエアは調査結果の執筆時点でどのソフトでも検知できないという。
なお海外のセキュリティー研究者も、同キャンペーンに関する情報を公開している。ただどの地域で発生した攻撃かは明らかになっていない。
https://insight-jp.nttsecurity.com/post/102fz2k/kiya(1本目)
https://insight-jp.nttsecurity.com/post/102g03d/kiya(2本目)
