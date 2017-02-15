Shamoonインシデントは標的型攻撃の侵入とエスカレーションの段階を特徴としているため、X-Force IRISの対応者は攻撃者の侵入口を探しました。調査結果から、攻撃者が使用した最初の侵害ポイントと思われるものが明らかになりました。それは、実行が承認されるとPowerShellを介した攻撃者のサーバーとリモート・シェルへのC2通信を可能にする、悪意のあるマクロを含むドキュメントでした。

該当のドキュメントは、最近の一連の攻撃で発見された唯一のものではありませんでした。X-Force IRISの研究者は、履歴書や人事関連文書として扱われるPowerShellを搭載した同様の悪意のあるドキュメントに関連する以前の活動を追跡しており、その中にはサウジアラビアの組織に関連するものもありました。この研究では、過去数か月間に発生した複数の攻撃活動が特定され、攻撃者がWebサーバーから悪意のあるドキュメントやその他のマルウェア実行ファイルをターゲットに送り、ネットワークに初期の足場を築くという類似したオペレーション手法が明らかになりました。