日本の製造・ハイテク産業を狙った標的型攻撃、Excel風のEXEファイルに注意

次世代ファイアウォールベンダーのパロアルトネットワークスは4月20日、同社の脅威インテリジェンスチーム「Unit 42」が日本の組織をターゲットとした標的型攻撃を確認したと発表した。

これは1月～3月にかけて、日本の大手製造・ハイテク企業を対象に、「DragonOK」とよばれるグループによって行われた攻撃で、「FormerFirstRAT」と呼ばれる新しい標的型攻撃のためのバックドアツールを利用しているという。

今回の攻撃は同社が提供するサンドボックス型クラウドサービス「WildFire」とWildFireにより共有される脅威情報の検索、相関分析を実現するサイバー脅威インテリジェンスサービス「AutoFocus」により発見したという。

攻撃を行った「DragonOK」は中国に拠点を持つとみられる犯罪者集団で、これまでも日本や台湾の製造業・ハイテク企業をターゲットに類似の攻撃を行っている。同グループの標的型攻撃は、マルウェアを仕込んだ、MicrosoftのWordやExcelに形を模したEXEファイルをメールに添付して行われる。

今回確認された攻撃では、訃報を知らせるメールに関連するドキュメント風のEXEファイルや、「XXX」