日本でも産総研が標的型攻撃を受けてネットワークが止まった事件もありましたが、北朝鮮のハッカーが研究機関への攻撃キャンペーンを仕掛けているという記事が気になりました。
www.securityweek.com
A threat group possibly originating from North Korea has been targeting academic institutions since at least May of this year, NetScout’s security researchers reveal.
The attackers use spear-phishing emails that link to a website where a lure document attempts to trick users into installing a malicious Google Chrome extension. Following initial compromise, off-the-shelf tools are used to ensure persistence. The campaign likely hit other targets as well, though NetScout says that only those domains targeting academia were intended to install a malicious Chrome extension. Many of the intended victims, across multiple universities, had expertise in biomedical engineering.
(Security Week記事より引用)
◆キタきつねの所感
スピアフィッシングのメールとありますので、最初の攻撃はメールなのは他の攻撃と変わりがないようです。大学や生物工学の専門家が狙われているという対象に関する(北朝鮮ハッカーの)意図はよく分かりませんが、気になるのが、Google Chromeの拡張機能をダウンロードさせようとしているという、フィッシングメール以降の攻撃部分。
この攻撃キャンペーン(STOLEんPENCIL)を見つけたNetScoutは、その手口について、フィッシングページでIFRAMEで問題が無いPDFを表示させ、ユーザはChromeの「Font Manager」拡張機能にリダイレクトされ、悪意のある拡張機能をインストールさせようとするようです。この拡張機能は別なサイトからJava Scriptをロードさせ、ブラウザのCookieとパスワードを窃取しようとすると共に、Windows管理者アカウントをシステムに追加し、リモートデスクトップ(RDP)を有効化し、感染した端末への継続的なアクセスを確保する意図があったようです。
NetScoutによると、まだデータ漏洩の実害は無いのでハッカー側の動機は分からないという事ですが、大きな攻撃の前の偵察と考えると、日本も同様な攻撃を受けてる(受けている)と考え、入り口対策であったり、セキュリティ意識が希薄な教職員の啓蒙に勤めるべきだと思います。
参考:(標的型攻撃メール<危険回避>対策のしおり)
www.ipa.go.jp
更新履歴
