KasperskyのICS CERTは3月6日、アジア太平洋地域の組織を標的とした新たなサイバー攻撃活動を発見し、「SalmonSlalom」と名付けたことを発表した。このサイバー攻撃活動の概要は以下のとおり。
攻撃者は、マルウェアの管理に正規のクラウドサービスを利用し、検知を回避するために、正規のソフトウェアを使用した複雑な多段階のマルウェア配信スキームを採用していた。
その結果、被害組織のネットワーク上でマルウェアを拡散し、リモート管理ツールをインストールしてデバイスを操作、機密情報の窃取や削除を行うなど、攻撃を展開するためのほぼ全てを実行することが可能になっていた。
この攻撃の初期感染は、フィッシングメールやメッセンジャーのWeChat、Telegramを通じて、税務関連の文書に偽装したマルウェアを含んだZIPファイルが攻撃対象に送信されることから始まる。その後、複雑な多段階の手順を経て既知のバックドアであるFatalRATがシステムにインストールされていた。
攻撃対象は中国語話者で、対象組織は台湾、マレーシア、中国、日本、タイ、香港、韓国、シンガポール、フィリピン、ベトナムなど、アジア太平洋地域の複数の国における産業企業や政府機関などだった。
この感染手順は、オープンソースのリモートアクセス型トロイの木馬であるGh0st RAT、SimayRAT、Zegost、FatalRATなどを使用した過去の攻撃活動と類似点があるが、今回の攻撃活動では、中国語話者を主な攻撃対象とした戦術、技術、手順において顕著な変化が見られた。
SalmonSlalomは、中国の正規のクラウドコンテンツ配信ネットワーク(CDN)であるmyqcloudと個人や企業向けのクラウドノートサービスのYoudao Cloud Notesを利用し、検知やブロックを回避するためにさまざまな方法を取っていた。
今回の攻撃活動を特定の既知の攻撃グループに帰属させることはできないが、一貫して中国語のサービスやインターフェースが使用されていること、そのほかの技術的な証拠などから、中国語話者の脅威アクターが関与している可能性が高いことが示唆される。
関連リンク