チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)は6月26日、今年3月に、Microsoftのゼロデイ脆弱性を悪用した、トルコの大手防衛機関に対するサイバー攻撃の試みを発見したことを明らかにした。その概要は以下のとおり。
●CPRは、実際に悪用されていたWindowsの未知の脆弱性を発見。
●CPRによる責任ある情報開示を受けて、Microsoftは6月10日の定例アップデート(パッチチューズデー)でパッチをリリース。
●このゼロデイ脆弱性は、中東およびアフリカの組織を標的とすることで知られる脅威グループ「Stealth Falcon」による標的型スパイ活動で使用されていた。
●攻撃の流れは、攻撃者が管理するWebDAVサーバー上のマルウェアを密かに起動する偽装インターネットショートカット(.urlファイル)から始まり、その過程で正規のWindowsツールを悪用する。
●この作戦では、検出を回避し、解析を妨害し、価値の高いターゲットにのみ選択的に動作するように設計された、高度なカスタムローダーとインプラントが展開された。
■Stealth Falconとは
Stealth Falcon(別名:FruityArmor)は、少なくとも2012年から活動している長期的なサイバースパイグループで、中東およびアフリカ全域の政治的・戦略的な組織を標的としてきた。Stealth Falconの戦術は時間の経過とともに進化してきたが、政府および防衛部門の価値の高いターゲットに焦点を当てるという方針は変わっていない。
現在、Stealth Falconはゼロデイエクスプロイト、カスタムマルウェア、配信メカニズムの使用で知られており、これらはすべて十分なリソースを持つAPTグループの特徴となっている。
■緩和策と防御
この攻撃は、プロアクティブな脅威検知、システムの動作の可視化、リアルタイムの保護の重要性を示している。防衛、政府、重要インフラといった分野の組織にとって、標的型の脅威が継続的な懸念事項であることを改めて認識させる。この脆弱性の性質と、WindowsのコアAPIの動作との関連性を考えると、幅広いバージョンのWindowsに影響が及ぶ可能性がある。
組織の環境が侵害されているかどうかを判断するために、以下の項目についてログと監視システムを確認することがすすめられる。
●一見無害に見えるURLファイルやLNKファイルを含むアーカイブ添付ファイル付き電子メール
●デフォルトのWindowsプロセスによって起動される、WebDAVの異常な接続や未確認の接続
関連リンク