NTTセキュリティ・ジャパン株式会社は4月20日、「BlackTech 標的型攻撃解析レポート」を公開した。
同レポートは、NTTセキュリティ・ジャパンのSOCが2021年度に観測した標的型攻撃グループ BlackTech による攻撃について、対策の参考となるよう、攻撃の概要、使用するマルウェアの解析結果、攻撃から組織を守るためのロジックの考案をまとめたもの。
少なくとも2012年頃から活動している標的型攻撃グループBlackTech(あるいはPalmerworm、Red Djinn、Earth Hundun、HUAPI)は、東アジアの組織、特に台湾と日本を標的としている。
BlackTechの攻撃は2020年頃から急増し、同社では日本の通信・防衛・メディアの複数組織に繰り返し攻撃が行われていることを観測している。同社が観測した攻撃では、日本企業の海外拠点が攻撃起点とし、本社の重要システムなどへ侵害を広げることが多いという。
同レポートによると、BlackTech による日本組織への攻撃は一部の例外を除き、スピアフィッシングメール、または脆弱性の悪用(サーバ)が攻撃起点であることが殆どである。スピアフィッシングメールは、取引先を詐称したメールが標的ユーザーへ送信され、添付ファイルを開封することでマルウェアに感染する。メール文面や添付ファイルは一見すると攻撃と分からない、違和感のないものとなっている。
脆弱性の悪用(サーバ)について、BlackTech はこれまでもJPCERT/CC 公開のブログで、BlackTech の C&C サーバ上に様々な脆弱性を悪用するためのツールがあったことが報告されており、その他複数のレポートでは、Microsoft Exchange Server の脆弱性を悪用することも観測されている。
