- +81 (092)-562-1177
- [email protected]
- 〒812-0013 福岡市博多区博多駅東2-5-28 博多偕成ビル2F
イバーセキュリティ研究者たちは、ウクライナを標的とした操作が、Microsoft Officeのほぼ7年前の欠陥を利用して、コンプロマイズされたシステムにコバルトストライクを配信していることを発見しました。
Deep Instinctによると、この攻撃チェーンは2023年末に発生し、「signal-2023-12-20-160512.ppsx」というPowerPointスライドショーファイルを起点としています。このファイル名から、Signalインスタントメッセージングアプリを通じて共有された可能性が示唆されますが、PPSXファイルがこの方法で配布された実際の証拠はありません。しかし、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、過去にメッセージングアプリをマルウェア配信ベクトルとして使用していた2つの異なるキャンペーンを発見しました。
先週、同機関は、ウクライナ軍がメッセージングおよびデートプラットフォームを通じてUAC-0184グループによってますます標的にされていることを公表しました。これはHijackLoader(別名GHOSTPULSEおよびSHADOWLADDER)、XWorm、Remcos RATなどのマルウェアや、sigtopおよびtuscのようなオープンソースプログラムを使用してコンピュータからデータを抜き取ります。
「PPSX(PowerPointスライドショー)ファイルは、戦車用の地雷除去ブレード(MCB)に関する古い米軍の取扱説明書のように見える」とセキュリティ研究者のイワン・コサレフ氏は言います。「PPSXファイルには、外部OLEオブジェクトへのリモートリレーションが含まれています。」
これにはCVE-2017-8570(CVSSスコア:7.8)の悪用が関与しており、これはOfficeのリモートコード実行のバグで、特別に作成されたファイルを開くように被害者を説得した場合、攻撃者が任意の行動を実行できるようにします。この攻撃は、weavesilk[.]spaceにホストされたリモートスクリプトをロードします。
その後、非常に難解なスクリプトは、JavaScriptコードを含むHTMLファイルを起動し、これによりホスト上で持続性を確立し、Cisco AnyConnect VPNクライアントを装った次段階のペイロードをドロップします。
ペイロードには、最終的にはクラックされたコバルトストライクビーコンをシステムメモリに直接注入し、コマンド&コントロール(C2)サーバー(「petapixel[.]fun」)からのさらなる指示を待つダイナミックリンクライブラリ(DLL)が含まれています。
また、このDLLは、仮想マシンで実行されているかどうかを確認し、セキュリティソフトウェアによる検出を回避する機能も備えています。
Deep Instinctは、攻撃を特定の脅威アクターやグループにリンクすることもできませんでしたし、レッドチーミング演習の可能性を排除することもできませんでした。侵入の正確な最終目的も不明です。
「誘引には軍事関連のコンテンツが含まれており、軍事関係者をターゲットにしていることが示唆されている」とコサレフ氏は言います。
「しかし、ドメイン名weavesilk[.]spaceとpetapixel[.]funは、それぞれ一般的なアートサイト(weavesilk[.]com)と人気の写真サイト(petapixel[.]com)に偽装されています。これらは無関係であり、攻撃者がなぜこれらを具体적に軍事関係者を欺くために使用するのかは少し不思議です。」
この開示は、CERT-UAがウクライナの約20のエネルギー、水道、暖房供給業者がロシア国家後援のグループUAC-0133によって標的にされていることを明らかにした時と同時です。UAC-0133はSandworm(別名APT44、FROZENBARENTS、Seashell Blizzard、UAC-0002、Voodoo Bear)内のサブクラスタであり、この国に対するすべての破壊的な作戦の大部分を担当しています。
Sandwormは、ロシア連邦軍参謀本部情報局(GRU)の74455部隊にリンクされている非常に適応性の高い脅威グループであり、少なくとも2009年以来活動しています。この敵対者は、XakNet Team、CyberArmyofRussia_Reborn、Solntsepekのような3つのハックアンドリークのハクティビストペルソナにも関連しています。
「ロシア軍情報局によって後援されたAPT44は、ダイナミックで運用上成熟した脅威アクターであり、スパイ活動、攻撃、影響作戦の全範囲に積極的に関与しています」とMandiantは述べています。
「APT44の活動はグローバルな範囲であり、ロシアの広範な国家的利益と野心を反映しています。時間を追っての活動パターンは、APT44がさまざまな戦略的優先事項を担当し、クレムリンによって柔軟な力の器として、持続的および新興の情報要求の両方に役立つと高く評価されていることを示しています。