ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

大手企業に対する標的型攻撃で使われた「Elirks」と「PlugX」 その手法とは

2016年6月、大手企業に対する標的型攻撃が発生し、個人情報793万件が流出する事件が発生しました。当該攻撃で使われたマルウェアは2種あり、一つはバックドア型トロイの木馬「Elirks」、もう一つはRATの「PlugX」です。「Elirks」を使う攻撃者グループは複数あり、主に東アジア地域で機密情報を盗み出すために使用されています。「PlugX」は、中国で作られたRAT(Remote Access Tool、または Remote Administration Tool)で、ハイテク産業、航空宇宙、メディア、通信、政府機関の組織を対象に、北米・台湾、欧州、日本を含むアジア圏において、2012年から複数の攻撃者グループが使用しています。

1.インシデントの概要

発端は、大手企業の問い合わせを受け付ける代表メールアドレスに、攻撃者が取引先になりすまして標的型メールを送信したことによるものです。オペレーターが受信メールに添付された圧縮ファイルを解凍すると、Windowsフォルダー型のアイコンが表示され、PDFファイルが表示されて感染しました(注1)。攻撃方法は様々で、Microsoft Word文書ファイルに「PlugX」が仕込まれるケースもあります(注2)。

バックドア型トロイの木馬「Elirks」

「Elirks」は、「PlugX」に比べ認知度は低いのですが、バックドア型のトロイの木馬で 2010年から存在しています。主に情報を盗み出すために使用されており、このマルウェアを使う攻撃者グループを「Elirks」と呼んでいるセキュリティベンダもあります。このマルウェアの特徴として、ブログやSNSのサイトにアクセスして攻撃者のC2サーバと通信を行う点が挙げられます。攻撃者はブログサービスにダミーのアカウントを作成、C2サーバのIPアドレスやドメイン名を符号化して投稿後、バックドア型マルウェアを配信する攻撃基盤を整備します。数年前から、日本のブログサービスを利用した複数のElirks亜種が確認されています。

RAT(Remote Access Tool)の「PlugX」

攻撃者は、「PlugX」を使用することにより、リモートから標的のコンピュータに侵入して探索活動や情報収集を行い、目的を達成すると不正侵害の痕跡を消去します。攻撃に使用される添付ファイルは、zipなどの圧縮ファイルや不正に細工されたOA文書ファイルのケースが多く、これまでにAdobe社製品やMicrosoft社製品の脆弱性が悪用されています。
PlugXの解析で明らかになったモジュールの一例として、次のものがあります。

実際のデータ盗難は、「PlugX」を介して送り込まれたHTRANなど別のツールの可能性もあります。

2. 日本の企業・組織を狙う「PlugX」による攻撃は過去にも発生

2015年7月、日本の企業・組織を狙う「PlugX」による攻撃が発生。当該攻撃で使用されたファイルは、次の通りです。

上記のファイルから2つのファイルがドロップされ、下記の不正なペイロードが含まれていました。

これにより、C2サーバとして使われているp■■■■■.comに接続します。2015年7月の時点で、p■■■■■.comに関係するサイトには、Adobe Flash Playerの脆弱性(CVE-2015-5119)を悪用するexploit codeが仕掛けられていました。

右の図は、p■■■■■.comを中心とした攻撃のネットワーク関係図です。
p■■■■■.comドメインは、2015年5月29日に、s■■■@■■■.comのメールアドレスで登録されていました。2015年7月は、Adobe Flash Playerの脆弱性(CVE-2015-5122)を悪用した攻撃が複数件発生しました。これは、イタリアのセキュリティベンダHacking Teamが独自に保有していたゼロディの脆弱性情報が、漏えいしたことに起因します。

おすすめコンテンツ

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る