ファイア・アイは、新型コロナウイルス(COVID-19)の感染拡大に便乗した、複数のサイバー攻撃を観測したことを、3月18日に発表した。
今回観測された攻撃は、中国、北朝鮮、ロシアのサイバースパイ活動グループが、スピアフィッシング攻撃において、新型コロナウイルスに関連したおとり文書を利用したとみられる。
中国のケースでは、2月末~3月初旬に攻撃グループ「TEMP.Hex」が新型コロナウイルスに関連したおとり文書を利用して、SOGUとCOBALTSTRIKEペイロードを展開しようとした可能性がある。
標的はベトナム、フィリピン、台湾の組織とみられ、使用されたおとり文書には政治家による実際の発言や提言などが含まれることから、公的な情報源から得られた可能性が高いと考えられる。
また、別のグループは、モンゴルでの感染数に関する公式な統計を含むおとり文書を用いて、バックドア「POISONIVY」による攻撃を行った。このグループは、過去にもモンゴル政府と同国の鉱業権益を狙ったサイバー攻撃を実施している。
ロシアのケースでは、同国の支援を受けるスパイ集団「TEMP.Armageddon」が、新型コロナウイルスがテーマの不正な文書を添付したスピアフィッシングメールを、ウクライナの組織に送付した。使用されたおとり文書は、正規な文書のコピーとみられ、同集団は過去にもウクライナを標的とした攻撃を実施している。
北朝鮮のケースでは、韓国のNGOに対して韓国語で「コロナウイルス対応」と書かれたスピアフィッシングメールが送られた。同サンプルは現在分析中だが、過去に観測された北朝鮮由来の活動との類似点がみられる。
新型コロナウイルス関連のおとり文書を利用した攻撃の多くは金銭目的で、1月以降その数が劇的に増加している。これらの攻撃では、認証情報の窃取、「Trickbot」などマルウェアの配布、「TEMP.Warlock」によるキャンペーンなど、さまざまな攻撃キャンペーンが行われた。
新型コロナウイルスは、世界的な関心事であることから、今後もばらまき型スパムおよび金銭目的の攻撃者による、継続的な悪用が予想される。
