TOPCloud > 新種のバックドア、SlackやGitHubを情報伝達に利用

Cloud

新種のバックドア、SlackやGitHubを情報伝達に利用

2019/03/13

Lucian Constantin CSO

 トレンドマイクロが発見した新種のバックドアで、攻撃者との情報の受け渡しに、ビジネス用コミュニケーションツール「Slack」を利用するものが確認された。正当なサービスをマルウエア制御に悪用する手法は以前からあるが、Slackを利用する例は初めてだとトレンドマイクロは説明している。

Credit: Slack

 このバックドアへの感染には、水飲み場型攻撃の手法が使われた。標的のユーザーや組織がよく利用するWebサイトを改ざんし、そこからマルウエアに感染させる手法だ。今回の事例では、北朝鮮と韓国の政治に関する記事を掲載しているKorean American National Coordinating Council(KANCC)という組織のサイトが改ざんを受け、感染に使われた。

 攻撃者らがメールキャンペーンで標的のユーザーたちをこのサイトに誘導したのか、それとも一般のサイト利用者の来訪を待ち構えていただけなのかは定かではない。しかしいずれにせよ、KANCCサイトは改ざんを受け、WindowsのVBScriptエンジンに存在する脆弱性「CVE-2018-8174」を攻撃するエクスプロイトの配布に使われた。この脆弱性は、Internet Explorerを通じてリモートのコード実行を可能にするものだが、米Microsoftが2018年5月に修正プログラムをリリース済みなので、OSを最新の状態に更新していれば攻撃を防御できたはずだ。

↑ページ先頭へ