サウジアラビアの銀行を標的とした新しいマルウェア攻撃が発生している。この攻撃は、中国との関連が示唆されるサイバー犯罪グループ「Solar Spider」によって行われており、高度なJavaScriptリモートアクセストロイの新バージョン「JSOutProx」を使用している。サイバーセキュリティサービス会社Resecurityによると、JSOutProxは企業を標的にする場合は偽のSWIFT支払い通知、個人を標的にする場合はMoneyGramテンプレートを配信する。このマルウェアは、インドや台湾の政府機関、フィリピン、ラオス、シンガポール、マレーシア、インドの金融機関を標的にしてきたが、現在はサウジアラビアも標的に含まれている。
JSOutProxは、開発の観点から非常に柔軟で整理されたプログラムであり、攻撃者が被害者の特定の環境に合わせて機能をカスタマイズできる。このマルウェアは複数の段階を持ち、様々なプラグインを使用して被害者の環境に応じた攻撃を行う。攻撃の第一段階ではシステムに関する情報を収集し、コマンドアンドコントロールサーバーとの通信を行う。第二段階では、Outlookへのアクセスやユーザーの連絡先リストの取得、システム上のプロキシの有効化または無効化など、さらなる攻撃を行うための14種類のプラグインのいずれかをダウンロードする。
このマルウェアはGitHubや最近ではGitLabからプラグインをダウンロードすることで、合法的な外観を保っている。Visaによると、JSOutProxは金融機関にとって深刻な脅威であり、特にアジア太平洋地域の金融機関がこのマルウェアによって頻繁に標的にされている。企業は、従業員に不審な連絡にどう対処すべきかを教育し、マルウェアの発見があれば完全に対処して再感染を防ぐべきである。大企業や政府機関はSolar Spiderの主な標的であるが、企業は特定の脅威に対処するよりも、良好なパッチ管理、ネットワークセグメンテーション、脆弱性管理などの防御深化戦略に焦点を当てるべきである。
【ニュース解説】
サウジアラビアの銀行を標的にした新たなマルウェア攻撃が発生しています。この攻撃は、中国との関連が示唆されるサイバー犯罪グループ「Solar Spider」によって行われており、彼らは高度なJavaScriptリモートアクセストロイの新バージョン「JSOutProx」を使用しています。このマルウェアは、企業や個人を標的にし、偽の支払い通知を配信することで、被害者から情報を盗み出すことを目的としています。
JSOutProxは、その柔軟性と整理された構造により、攻撃者が被害者の環境に合わせて機能をカスタマイズできる点が特徴です。このマルウェアは複数の段階を経て攻撃を行い、様々なプラグインを使用して被害者のシステムを侵害します。攻撃の初期段階では、システムに関する情報を収集し、その後、さらに侵害を深めるためのプラグインをダウンロードします。
GitHubやGitLabからプラグインをダウンロードすることで、このマルウェアは合法的な外観を保ちつつ、金融機関から機密情報を盗み出すことが可能です。特にアジア太平洋地域の金融機関がこのマルウェアの主な標的となっていますが、今回の攻撃ではサウジアラビアの銀行も標的にされています。
このような脅威に対して、企業は従業員に対する教育を強化し、不審な連絡にどう対処すべきかを指導することが重要です。また、マルウェアの発見があれば、それを完全に排除し、再感染を防ぐための対策を講じる必要があります。大企業や政府機関は特に標的にされやすいため、パッチ管理、ネットワークセグメンテーション、脆弱性管理などの防御深化戦略に焦点を当てることが推奨されます。
この攻撃は、サイバーセキュリティの脅威がいかに高度化しているかを示しています。また、攻撃者が合法的なプラットフォームを利用して悪意のある活動を行うことで、検出を回避しやすくなっていることも明らかにしています。このため、企業や政府機関は、セキュリティ対策を常に最新の状態に保ち、従業員の教育を徹底することが、サイバー攻撃から自らを守るための鍵となります。
from Solar Spider Spins Up New Malware to Entrap Saudi Arabian Financial Firms.
