メモ

標的型サイバー攻撃キャンペーン「BLACKGEAR」（別名：「Topgear」、「Comnie」）におけるサイバー諜報活動は、バックドア型マルウェア「Protux（プロタックス）」の確認状況に基づくと、少なくとも2008 年までさかのぼることができます。BLACKGEAR は、日本、韓国、台湾の公的機関、通信企業、その他の技術系企業を標的としてきました。例えば 2016 年の活動では、バックドア型マルウェア「Elirks」を始め、さまざまなマルウェアやツールを利用し、日本の組織を攻撃していたことが確認されています。BLACKGEAR の攻撃者は、独自のツールを開発し、非常に組織的な活動を行います。最新の攻撃ではそれらのツールに微調整が加えられていることが確認されました。
BLACKGEAR の特徴は、検出を回避するために、ブログ、ミニブログ、そしてソーシャルメディアを悪用し、コマンド&コントロール（C&C）サーバの情報を隠ぺいする点です。この手法は、事前に設定した C&C サーバの情報がマルウェア内に埋め込まれている場合に比べ、必要に応じて C&C サーバを切り替えることが可能なため検出が困難です。これにより、攻撃者は、侵入した PC に築いた足がかりを長持ちさせ、さらなる情報探索が可能になります。

標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい | トレンドマイクロ セキュリティブログ