先日、TeamT5は新たに特定されたバックドアからなるインストーラーを2つ発見し、MemzipRATと名付けました。このバックドアの名前は、PEファイル内に埋め込まれた文字列「get module from cmd memzip : %d」に由来しています。
TeamT5の調査結果
さらなる調査の結果、この攻撃は航空宇宙分野に属する韓国企業を狙ったものだと当社では考えています。この韓国企業は、航空宇宙、化学、金融、ITなどを手掛ける韓国のトップ10に入る複合企業の1社です。
実際、CloudDragonは最近になって、VPNの脆弱性を利用して、韓国政府機関 [1]を含めた多数の事業体を攻撃したことで非難を受けています。今回も新たな脆弱性を利用して、新たなマルウェアを展開した可能性が高いと考えています。
しかしながら、これらの攻撃には、大規模な侵入の引き金となるかもしれない重大な要因が2つ存在します。
- VPNの脆弱性2020年のVPN市場は、全世界で300億米ドルとなりました。つまり市場は非常に巨大であり、複数のプレーヤーが存在します。韓国だけでなく、全世界の様々な企業に脅威アクターが潜入するための開始点となる可能性があります
- ターゲットとなる分野特定されたターゲットにはITなどの重要な分野が含まれているため、短期間に数百社にものぼる企業に影響を与える可能性があります。
今回のCloudDragonの攻撃は、サプライチェーンに対する深刻な攻撃へとつながる恐れがあるため、十分な注意が必要です。
参考文献
画像のソース: Pixabay