攻撃対象の組織には、日本をはじめアジア太平洋地域の複数の国の産業関連企業や政府機関などが含まれていました。攻撃者はマルウェアの管理に正規のクラウドサービスを利用し、検知を回避するために正規のソフトウェアを使用した複雑な多段階のマルウェア配信スキームを採用していました。
[本リリースは、2025年2月24日にKasperskyが発表したレポートに基づき作成したものです]
KasperskyのICS CERT※はこのたび、アジア太平洋地域の組織を標的とした新たなサイバー攻撃活動を発見し、「SalmonSlalom(サーモン・スラローム)」と名付けました。攻撃者は、マルウェアの管理に正規のクラウドサービスを利用し、検知を回避するために正規のソフトウェアを使用した複雑な多段階のマルウェア配信スキームを採用していました。その結果、被害組織のネットワーク上でマルウェアを拡散し、リモート管理ツールをインストールしてデバイスを操作、機密情報の窃取や削除を行うなど、攻撃を展開するためのほぼ全てを実行することが可能になっていました。
この攻撃の初期感染は、フィッシングメールやメッセンジャーのWeChat、Telegramを通じて、税務関連の文書に偽装したマルウェアを含んだZIPファイルが攻撃対象に送信されることから始まります。その後、複雑な多段階の手順を経て既知のバックドアであるFatalRATがシステムにインストールされていました。攻撃対象は中国語話者で、対象組織は台湾、マレーシア、中国、日本、タイ、香港、韓国、シンガポール、フィリピン、ベトナムなど、アジア太平洋地域の複数の国における産業企業や政府機関などでした。
この感染手順は、オープンソースのリモートアクセス型トロイの木馬(RAT)であるGh0st RAT、SimayRAT、Zegost、FatalRATなどを使用した過去の攻撃活動と類似点がありますが、今回の攻撃活動では、中国語話者を主な攻撃対象とした戦術、技術、手順において顕著な変化が見られました。
SalmonSlalomは、中国の正規のクラウドコンテンツ配信ネットワーク(CDN)であるmyqcloudと個人や企業向けのクラウドノートサービスのYoudao Cloud Notesを利用し、検知やブロックを回避するためにさまざまな方法を取っていました。具体的には、指令サーバー(C2サーバー)や悪意のあるペイロードを動的に変更する、正規のウェブリソースにファイルを配置する、正規のアプリケーションの脆弱(ぜいじゃく)性を悪用する、正規のソフトウェアを利用してマルウェアを起動する、ファイルのパッケージ化やネットワークトラフィックの暗号化などです。
今回の攻撃活動を特定の既知の攻撃グループに帰属させることはできませんが、一貫して中国語のサービスやインターフェースが使用されていること、そのほかの技術的な証拠などから、中国語話者の脅威アクターが関与している可能性が高いことが示唆されます。
ICS CERTのリサーチャーはこの攻撃活動を、川をさかのぼるサケが鋭い岩の間をくぐり抜け、体力を消耗しながら泳ぐ様子に例えて「SalmonSlalom」と名付けました。
KasperskyのICS CERTの責任者であるエフゲニー・ゴンチャロフ(Evgeny Goncharov)は次のように述べています。「これまでにも、比較的単純な攻撃手法や技術を組み合わせた攻撃を繰り返し目にしてきており、それらは工場などOT(オペレーショナル・テクノロジー)の環境内であっても標的に到達することに成功しています。SalmonSlalomの発見は、アジア太平洋地域のさまざまな産業組織に対して、制御システムにリモートアクセスする能力を持つ脅威アクターの存在を警告するものです。このような潜在的な脅威を認識することは、企業が攻撃者から資産やデータを保護するためにセキュリティ対策を強化するきっかけになります」
■ 詳細は、ICS CERTのレポート「Operation SalmonSlalom:A new attack targeting industrial organizations in APAC」(英語)でご覧いただけます。
■ ICS CERTリサーチャーは、SalmonSlalomのような攻撃を防ぐために、次の対策を推奨しています。
・セキュリティソリューションの管理コンソールやウェブインターフェースへのログインに二要素認証を使用する。
・全てのシステムの中央管理型セキュリティソリューションを最新状態にし、アンチウイルスデータベースとプログラムモジュールを常に更新する。
・全てのシステムでセキュリティソリューションの全コンポーネントが有効になっていること、アクティブなポリシーによって、保護の無効化や、管理者パスワードを入力せずにソリューションコンポーネントを終了または削除することが禁止されていることを確認する。
・セキュリティソリューションが最新の脅威情報を受け取っていることを確認する。
・オペレーティングシステムおよびアプリケーションを、現在ベンダーがサポートしているバージョンに更新し、最新のパッチを適用する。
・SIEMシステムを導入する。
・OT環境で最も一般的なGrandParent-Parent-Child(親の親-親-子)の関係を把握するために、EDR/XDR/MDRソリューションを活用する。これは、正規のバイナリの機能が悪用され、次の段階のペイロードが実行されたことが観測されたことから、当社のリサーチャーが強く推奨する対策です。
※ Kaspersky ICS CERT
Kaspersky Industrial Control
Systems Cyber Emergency Response Team(Kaspersky ICS CERT)は、Kasperskyのグローバルな取り組みであり、産業企業をサイバー攻撃から保護するために、オートメーションシステムベンダー、産業施設の所有者および運用者、ITセキュリティリサーチャーとの連携を推進しています。Kaspersky ICS
CERTは、産業用オートメーションシステムや産業用IoT(IIoT)を標的とする潜在的な脅威や既存の脅威の特定に注力しています。詳しくは、ics-cert.kaspersky.comをご覧ください。
