瑞星:BlackTech组织对国内企业APT攻击分析
最近、ライジングスレットインテリジェンスセンターが中国内企業に対するサイバー攻撃をキャッチしました。 解析の結果、この事件の攻撃者はBlackTech組織であり、フィッシングメールで漢字のマクロ文書をターゲットに配信し、それによってユーザーにクリックと実行を誘惑し、ユーザーデータのアップロードとトロイの木馬のダウンロードを目的とした不正プログラムをリリースすることが判明したのです。 現在、Rising ESM Anti-Virus Terminal Security Protection Systemなどの製品は、この攻撃によるウイルスを遮断し、チェックすることができるので、ユーザーは対応するリスクを回避することができます。
BlackTechは、少なくとも2010年以降、標的に対してサイバー攻撃を仕掛けている脅威集団で、Tatsuya Daitoku、yber Defense Institute、TEMP.Overboard、T-APT-03などとも呼ばれ、情報の窃盗やスパイ活動を中心に活動しているそうです。 BlackTechグループは、中国、日本、台湾、中国香港などの東アジアから、建設、金融、政府、医療、メディアなどの分野での攻撃をターゲットにしています。
Risingのセキュリティ専門家によると、今回の攻撃でRisingがキャプチャしたサンプルは「Yu Tongcai Weekly 1025-1031.xlsm」というマクロ文書で、さらに検索すると「2021-10 給与におけるCPF問題に関する協議」という別の名前を持っていることが判明したとのことです。 xlsmなので、中国語名から、国内企業を狙った攻撃と判断しました。 この文書には、マクロコードによって表示・非表示が制御される2つのワークシートがあり、ユーザを騙してマクロコードを積極的に実行させ、異なるワークシートを表示させ、マクロコードに格納された悪意のあるプログラムをハードコードで解放することで、悪意のある動作を隠すことを目的とした攻撃であると考えられます。