世界各国の政府機関や軍需、ハイテク企業や通信企業を標的にハッキング攻撃がされているとMcAfeeの研究者が述べている。
「Operation Sharpshooter」と名付けた新たな攻撃は、数週間行われている。
主な目的は、情報収集のようです。
世界各国が組織の標的になされているが、McAfeeの分析によれば、被害は米国に集中しているという。
日本も被害に遭っているが、そのほとんどが、英国企業か、英語が使用されている支社を持つ企業です。
攻撃者の主な標的は軍需企業や政府機関のようだが、通信、エネルギー、原子力、金融といった分野の企業も標的になっている。
研究者によれば、攻撃は北朝鮮の利益のために活動しているハッカー集団「Lazarus Group」の顕著な特徴を多く示しているものの、それだけでは攻撃元を特定するのに十分ではないらしい。
McAfeeのチーフサイエンティスト兼フェローであるRaj Samani氏は、ZDNetの取材に対して「技術的特徴だけを根拠に攻撃元を判断するのは困難だ。これがLazarus Groupになりすました攻撃である可能性も考慮しなければならない」と語っている。
人材募集のメールを装ったフィッシングメールが標的企業に送られている。
悪意ある「Word」文書はいずれも、作成者名が「Richard」で、さまざまな企業の役職につちえ、仕事内容が記載されている。
文書には、悪意あるマクロが仕込まれており、埋め込まれたシェルコードを利用して、Sharpshooterマルウェア用のダウンローダーをWordのメモリに読み込む。このマルウェアが、攻撃の第2段階として「Rising Sun」を読み込むダウンローダーの役割を果たしている。
Operation Sharpshooterの黒幕が何者であれ、これで攻撃が終了することはないようで、「どのようなセキュリティソリューションを使用していようと、組織はシステムをアップデートすべきだ。それと同時に、環境内に残るIoC(Indicator of Compromise:攻撃があったことを示す痕跡)を調査すべきかもしれない」とSamani氏は述べている。