次世代ファイアウォールベンダーのパロアルトネットワークスは4月20日、同社の脅威インテリジェンスチーム「Unit 42」が日本の組織をターゲットとした標的型攻撃を確認したと発表した。

これは1月~3月にかけて、日本の大手製造・ハイテク企業を対象に、「DragonOK」とよばれるグループによって行われた攻撃で、「FormerFirstRAT」と呼ばれる新しい標的型攻撃のためのバックドアツールを利用しているという。

今回の攻撃は同社が提供するサンドボックス型クラウドサービス「WildFire」とWildFireにより共有される脅威情報の検索、相関分析を実現するサイバー脅威インテリジェンスサービス「AutoFocus」により発見したという。

攻撃を行った「DragonOK」は中国に拠点を持つとみられる犯罪者集団で、これまでも日本や台湾の製造業・ハイテク企業をターゲットに類似の攻撃を行っている。同グループの標的型攻撃は、マルウェアを仕込んだ、MicrosoftのWordやExcelに形を模したEXEファイルをメールに添付して行われる。

今回確認された攻撃では、訃報を知らせるメールに関連するドキュメント風のEXEファイルや、「XXX」とセルに入力されただけのExcel風のEXEファイルを添付する方法が取られた。ファイルを開くとマルウェアがダウンロードされ、システムのコントロールを奪い、キーロガー、スクリーンキャプチャー、ファイルの盗難といった活動を行う。

攻撃で使用された添付ファイルの画像

今回の攻撃の新しい点は、NFlog、PoisonIvy、NewCT、PlugXといったこれまでに発見されているツールに加え、これまでグローバルでも確認されていない「FormerFirstRAT(Palo Alto Networksが命名)」という新しいツールが利用された点。同社は、日本企業への攻撃に特化した新しいツールが作成されたものと推測し、今後同様の攻撃が日本企業を対象に行われると警告している。

同攻撃の技術的詳細は、同社のリサーチセンターブログで確認できる。