トレンドマイクロは3月27日、2013年の国内における持続的標的型攻撃(APT:Advanced Persistent Threat)に関する分析レポートを公開した。2013年の国内における持続的標的型攻撃は、正規の動作や通信に偽装し攻撃を「隠蔽」する傾向が見られたという。

標的型メールが送付される際は、標的内の関係者と複数回のメールのやり取りを行ったのち、不正プログラムを送付する「やり取り型」の標的型攻撃が複数確認された。特に、持続的標的型攻撃に使用された遠隔操作ツール100個を調査したところ、不正プログラムが外部のC&Cサーバと通信する際には、約7割(67%)がC&Cサーバのホスト名を正規のサービスに偽装していた。

侵入時の攻撃が成功したのち、内部のネットワーク探索や目的の情報を窃取するための活動では、トレンドマイクロがネットワーク監視を行った100件のうち49件で遠隔操作ツールの活動が確認され、49件全てでシステム管理者が用いる正規ツール(遠隔管理ツール「PSEXEC」など)やWindows標準のコマンドを利用して攻撃を「隠蔽」する傾向が見られた。

また、2013年の100件の調査において、同一調査対象にて「ファイル転送」「リモート実行」「痕跡消去」のうち2つ以上の挙動が確認された場合、必ず持続的標的型攻撃が行われていることが判明したという。