金融機関や研究機関を狙った攻撃キャンペーン

情報セキュリティ局は、サイバー空間における情報セキュリティの監視の過程で、国家サイバーセキュリティ監視センター（NCSC）がAPTグループMiroFaceが実行したサイバー攻撃キャンペーンに関連する情報を発見し、記録したと述べた。

APT MirrorFaceは金融機関、研究機関、製造業者を標的とすることが知られています。そのため、攻撃グループはArray AGおよびFortiGateソフトウェア製品の情報セキュリティ脆弱性を悪用し、NOOPDOORマルウェアを拡散しました。

専門家によると、NOOPDOORマルウェアは、システム上の正規アプリケーションに「.XML」ファイルと「.DLL」ファイルの2つの亜種でインストールされます。どちらの亜種も、攻撃者がポート443と47000経由で接続を確立し、ファイルをダウンロードしてコマンドを実行できるようにします。

マルウェアが公開された後、攻撃者はネットワークシステムの認証情報ストレージにアクセスし、ローカルネットワーク内の他のデバイスにマルウェアを拡散し、ユーザー情報を監視および抽出するなどの違法行為を実行しました。

さらに、攻撃者は、タイムスタンプを編集したり、マルウェアが特定のポートに接続できるようにシステムファイアウォールにルールを追加したり、有効なサービスを非表示にするなど、検出を回避するための措置も講じました。

情報セキュリティ局は、全国の組織や企業に対し、APT MirrorFaceグループによる攻撃キャンペーンの影響を受ける可能性のある情報システムの点検とレビューを実施することを推奨しています。同時に、この攻撃キャンペーンに関連する情報を積極的に監視し、攻撃を受けるリスクを予防・回避してください。

同時に、組織は監視を強化し、悪用やサイバー攻撃の兆候を検出した場合の対応計画を準備することも推奨されています。

さらに、各部隊はサイバー攻撃のリスクを迅速に検知するために情報を監視する必要があります。サポートが必要な場合は、国家サイバーセキュリティ監視センター（02432091616）までご連絡いただくか、ncsc@ais.gov.vnまでメールでお問い合わせください。