禁止で混乱が続く中、ロシアのサイバーセキュリティ会社がオクトパスマルウェアが含まれるZipファイル1つを発見しました。タイムスタンプを確認すると、2018年2月から3月の間に作成されたものと判明しました。その上、このZipファイルはカザフスタンの反政府政党メンバーが使用する通信ソフトウェアのように偽造されていました。さらに分析を重ねた結果、このZipファイルにはDropper(ドロッパー)というトロイの木馬も含まれていることを突き止めました。このドロッパーはロシア語バージョンのテレグラムのように偽造されていたと言います。
オクトパスマルウェアはサードパーティ製のデルファイライブラリを使用しています。JSON(JavaScript Object Notation)のC2通信の為、The Indy Project等を使用しファイルを圧縮しています。また基本的なシステムレジストリをいじることで、システム内に長期に渡り潜入出来るように工夫されていたことが分かっています。
Zipファイルの名前は「dvkmailer.zip」で、既に解散済の野党であるDemocratic Choice of Kazakhstanのロシア語による略語「DVK」が含まれていました。
このオクトパスマルウェアの正確な拡散方法については、現時点では確実には判明していません。しかしながらソーシャルエンジニアリングを通じて、ユーザーを攻撃している痕跡は確認されています。DustSquadはフィッシング攻撃、スピアフィッシング攻撃を得意とするサイバースパイグループとして有名です。
サイバー攻撃者達は、このような政治的な状況や変化までも攻撃のチャンスとして利用するのです。そして、常に新たな攻撃の機会を伺っています。私たちには、日頃からサイバー攻撃の動向を注視しておくことが求められています。