JPCERT/CCは10月27日、ブログにおいて「攻撃グループAPT-C-60による攻撃のアップデート」を発表した。
JPCERT/CCでは以前にもブログで「正規サービスを悪用した攻撃グループAPT-C-60による攻撃」について紹介したが、引き続き同様の攻撃活動を国内で確認しているという。今回は、2025年6月から8月にかけて確認した攻撃について、前回からのアップデートを中心に以下の項目について解説している。
・攻撃の流れ
・ダウンローダーおよびSpyGlaceのアップデート
・SpyGlaceのエンコード関数、通信方式
・使用されたデコイ文章
・GitHubリポジトリの分析
ブログでは最後に、APT-C-60による攻撃は、これまでの傾向と同様に日本などの東アジア地域を中心に攻撃が行われており攻撃の内容はBitbucketからGitHubへとインフラを移行した点やマルウェアのアップデートなど変更点は確認できるものの、正規のサービスを使った点やマルウェアの挙動など変わらない部分も多いため、これまでの傾向を踏まえ引き続き注意が必要だとしている。
関連リンク