【要点】
◎2018年秋頃から複数の自動車関連企業の東南アジア拠点でOceanLotusによる攻撃を観測
【概要】
■攻撃手法
- 履歴書の送付を装った「代表アドレス」へのメールを多く観測
- メールにはWordファイルが添付
- Template Injectionの手法でマクロを自動的にダウンロード
- マクロを有効にすると悪意のあるコードが実行
- ローダーに公開・商用ツールの「Cobalt Strike/CACTUSTORCH」を使用
- 添付ファイルにはマクロが含まれておらず、マクロはHTTPSでダウンロード
【ニュース】
◆代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性(マクニカネットワークス) (NetSecurity, 2019/04/26 08:00)
マクニカネットワークスは、ホワイトペーパー「OceanLotus 東南アジア自動車業界への攻撃」を公開した
https://scan.netsecurity.ne.jp/article/2019/04/26/42274.html
【関連まとめ記事】
◆全体まとめ
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆APT32 (まとめ)
https://malware-log.hatenablog.com/entry/APT32
◆マルウェア / Malware (まとめ)
◆攻撃フレームワーク (まとめ)
◆Cobalt Strike (まとめ)
https://malware-log.hatenablog.com/entry/Cobalt_Strike