Anatomy of an Attack http://blogs.rsa.com/rivner/anatomy-of-an-attack/

RSAが APT(Advanced Persistent Threat)によって外部から侵入され、SecurIDに関する情報が漏洩した可能性があることを顧客向けレターで報告したのが、3/17(木)のこと。そして昨日(4/1)、RSA社のブログで、その攻撃手口の詳細が明らかにされた。

• 最初はRSA社の社員に対するスピアフィッシング攻撃が行われた。攻撃者は2つの社員グループに2日間で異なる2つのメールを送信した。この社員グループは特に注目されるような重要な地位にあるわけではない、一般社員たち。
• メールのサブジェクトは "2011 Recruitment Plan" (2011年の採用計画)。メールにはファイル名が "2011 Recruitment plan.xls"というExcelファイルが添付されていた。
• Excelファイルには Adobe Flashの 0day脆弱性 (CVE-2011-0609)を利用したエクスプロイトコードが含まれていた。これにより、被害者の PCにバックドアが仕込まれた。*1
• 攻撃者は次に Poison Ivyというリモート管理ツールの亜種をインストールして、このPCの制御を乗っ取った。*2
• 侵入されたPCは、外部にあるC&Cサーバに接続して攻撃者からの指令を受信し、様々なコマンドを実行した。
• 攻撃者は侵入したPCでネットワークの盗聴などを行い、さらに高いレベルの社員のユーザー情報(ID、パスワードなど)を収集した。
• 収集した情報を利用して、攻撃者は狙っていたサーバに侵入して情報を取得した。(おそらく SecurIDに関するもの)
• 取得した情報はパスワード保護された RARファイルに圧縮され、FTPで外部のサーバに送信された。この外部のサーバはホスティング業者のもので、攻撃者によって侵入されたものらしい。
• 攻撃者はこの外部サーバから必要な情報を取得したのち、全ての痕跡を消した。
• この攻撃者に関係すると思われる 3つの URLは次のとおり。Good[DOT]mincesur[DOT]com | up82673[DOT]hopto[DOT]org | www[DOT]cz88[DOT]net

上記を読む限り、典型的な APTの攻撃パターンに見える。

なお日本における APTの被害実態についてはあまりよくわかっていないが、最近 LAC社が大変参考になる調査レポートを出している。一読をオススメする。
CSL Report サイバー産業スパイの実態 http://www.lac.co.jp/info/rrics_report/csl20110323.html

(4/4追記)
APTに関して参考までに。この用語を広めた MANDIANT自身は、標的型攻撃の一つとして非常に狭い意味で APTを定義している。以下、M-trends 2011レポートからの引用。

The Advanced Persistent Threat (APT) is a term used to describe a specific group of threat actors (multiple cells) that have been targeting the
U.S. Government, Defense Industrial Base (DIB) and the financial, manufacturing and research industries for nearly a decade. Mandiant does
not use this term in its diluted sense — as a generic category of threats. As increased awareness of the APT blossomed from Google’s public
disclosure of the attacks in early 2010, and explosive marketing around “Operation Aurora”, organizations less familiar with the APT created a
more diluted definition of the term APT, and changed its meaning to “advanced and persistent threats”. Mandiant considers the APT a type of
“targeted attack”. The threat detection and response capabilities we describe will combat targeted attacks.

(関連記事)
http://www.computerworld.jp/topics/vs/191111.html
http://www.theregister.co.uk/2011/03/24/rsa_securid_news_blackout/
http://isc.sans.edu/diary.html?storyid=10609
http://isc.sans.edu/diary.html?storyid=10645