SunOrcalマルウェアの新たな亜種の標的の拡大

Unit 42は、このところReaverと呼ばれる新しいマルウェア ファミリの調査を行っています。弊社が2016年後半にその活動を確認して以来、Reaverに目立った動きはなく、特定された固有のサンプル数はごく少数にとどまっています。その目的は中国政府が危険と見なす活動で、「五毒」とも呼ばれています。Reaverマルウェア ファミリには、SunOrcalマルウェアと共有されるコマンドアンドコントロール(C2)インフラストラクチャの重複があり、これらは2016年後半から同時に使用されてきたことがわかっています。

Reaverを調査する中、最近、SunOrcalマルウェア ファミリの新しい亜種も見つかりました。SunOrcalマルウェア ファミリは、2013年あるいはそれ以前から活動が確認されていますが、この新たな亜種はこの脅威グループの一般的な標的範囲外の地域を標的にすることが確認されており、今やその範囲はベトナムやミャンマーにまで拡大しています。

仕組み
悪意のあるファイルが添付された電子メールが標的に送信されました。ベトナム語圏の人々を標的にした悪意のある文書の1つは、ドナルド トランプ元大統領と南シナ海の紛争海域のことに触れていました。これは、標的が興味を持つ、または重要だと感じるものを含めることでファイルを開かせ、被害者のシステムにマルウェアをダウンロードするという古典的なおとり手法です。

防御方法
このマルウェア攻撃はフィッシング メールを利用し、標的が悪意のある添付ファイルを開くという動作に依存します。こうした攻撃の被害に遭わないようにするには、セキュリティ意識が極めて重要です。

電子メールに関する一般的なベストプラクティス:

• 送信者が信頼できる送信元であることを確認する。そのような送信者からこれまでメールを受信したことがない場合やメール アドレスにタイプミスが含まれている場合は開かない。
• 送信者が信頼できそうな場合、メールの本文に細心の注意を払う。タイプミスが多くないか? ブランディング/ロゴに違和感はないか? 素人仕事に見えないか?
• メールに記載されたリンクをクリックしたり、添付ファイルをダウンロードしたりしない。
• パスワードや個人情報を記載してメールを返信しない。

電子メールの正当性に確信が持てない場合は、電話で直接送信者に連絡するか、信頼できるURLをブラウザに直接入力するか保存したブックマークを使用して送信者に連絡します。さらに、システムやデバイスのオペレーティング システムおよびWebブラウザを常に最新の状態に保ったり、攻撃者が認証情報の取得に成功した場合にその悪用を防ぐため、多要素認証を有効にすることも、セキュリティの一般的なベストプラクティスです。