スピアフィッシング攻撃
スピアフィッシング攻撃とは、フィッシング攻撃と標的型不正プログラムを組み合わせたものです。攻撃者は、上司や同僚など正規の送信者を装った巧妙なメールメッセージにより、少数の標的となる従業員にスピアフィッシングメッセージを送信します。このようなスピアフィッシングメッセージには、多くの場合、不正Webサイトへのリンクや不正な添付ファイルが含まれます。添付ファイルは、Microsoft
Word、Excel、およびAdobe製品の脆弱性を悪用する場合があります。また添付ファイルは、実行可能ファイルを含む圧縮アーカイブである可能性もあります。受信者が添付ファイルを開くと、不正ソフトウェアがシステムの悪用を試みます。多くの場合、策略を実行するために、不正ソフトウェアは安全に見える無害なドキュメントを起動します。
いったん不正ソフトウェアが実行されると、システム上で休止状態となるか、またはコマンド&コントロール (C&C) サーバと通信してさらに指示を受信しようとします。
C&Cコールバック
-
「ダウンローダ」と呼ばれるソフトウェアが、不正プログラムを自動的にダウンロードしてインストールします。
-
C&Cサーバを監視している人物 (攻撃者) が、処理を実行して接続に応答します。「リモートアクセス型トロイの木馬」 (RAT) と呼ばれるソフトウェアにより、攻撃者はシステムを調べたり、ファイルを抽出したり、感染したシステムで実行するための新しいファイルをダウンロードしたり、システムのビデオカメラやマイクを起動したり、画面キャプチャやキーストロークを取得したり、コマンドシェルを実行できるようになります。
攻撃者はさらに永続的なアクセスポイントを取得して、感染したネットワーク内を動き回ります。また、ネットワーク上にあるデータの収集のためにユーザのアカウント情報を盗もうとします。成功すると、収集されたデータはネットワークから別の環境に持ち出され、さらに調査されます。
この移動は、ゆっくりとしたペースで行われるため、検出されません。検出された場合は、一時的に活動を休止し、その後再開します。組織によってネットワークから排除された場合は、攻撃サイクルを最初からやり直します。