ロシアのハッカー集団、さらに検知されにくいツールで欧米政府機関を標的に - (page 2)

Laura Hautala (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2018年11月22日 12時49分

始まりはフィッシングメール

 Cannonに関するニュースが流れる1週間ほど前には、他のサイバーセキュリティ企業2社がReutersに対して、ロシアと関わりがある別のハッカー集団が、米国務省の職員になりすまして、シンクタンクや企業、政府機関にフィッシングメールを送っていると語った。そのうちの1社、FireEyeは19日、「Cozy Bear」と呼ばれる集団がハッキングを仕掛けたと考えていると述べている。米諜報当局はCozy Bearについて、ロシアの情報機関であるロシア連邦保安庁(FSB)だと思われると述べている。Palo Alto Networksは、検知したハッキング活動でハッカーが誰になりすましたか明らかにせず、標的にされた個々の国に関する詳細な情報も提供しなかった。

 新しいハッキングツールは、いくつかのステップを踏んで標的のコンピュータにアクセスする、もっと大がかりな活動の一部だ。Miller-Osborn氏のチームは、10月下旬と11月初めにハッキング活動に気づいた。よくあることだが、この活動はフィッシングメールから始まった。

 ハッカーは、「Microsoft Word」文書が添付されたメールを標的のユーザーに送った。文書には悪意のあるものがまったく含まれておらず、メールの添付ファイルをスキャンするセキュリティソフトが捕捉するのは困難だった。だが、ユーザーがクリックして添付ファイルを開くと、Word文書は、悪意あるコードを含んだ「リモートテンプレート」をダウンロードする。こうしてWord文書は、マルウェアを配布するシステムに変化した。

 リモートテンプレートを作成するのは、Wordの機能だ。この機能を利用すれば、企業が作成したテンプレートを従業員がダウンロードして、文書の書式を統一できる。ダウンロードは自動的に行うことが可能だ。

Palo Alto Networksによると、こうして悪意あるファイルに一転したWord文書は、Cannonを含む2つの悪意あるプログラムをインストールするという。Cannonはその後、ユーザーにまったく気づかれることなく、あらかじめ決められたメールアドレスにこっそりとログインできた、とMiller-Osborn氏は言う。そこから、ハッキングしたマシンのスクリーンショットと情報を送ることに成功し、場合によっては指示を受けて、さらに悪意のあるソフトウェアをインストールした可能性も考えられる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]