Last Updated on 2024-06-01 15:41 by 荒木 啓介
Cloudflareは、ウクライナを標的としたロシア寄りの脅威アクター「FlyingYeti」によるフィッシングキャンペーンを妨害したと発表した。このキャンペーンは、住宅や公共サービスへのアクセス喪失に関する不安を利用し、悪意のあるファイルを開かせることで、PowerShellベースのマルウェア「COOKBOX」に感染させることを目的としていた。FlyingYetiは、ウクライナのコンピュータ緊急対応チーム(CERT-UA)がUAC-0149として追跡している活動クラスターである。このキャンペーンでは、Cloudflare WorkersとGitHubを利用し、WinRARの脆弱性CVE-2023-38831を悪用していた。攻撃者は主にウクライナの軍事関連組織を標的とし、DDNSをインフラストラクチャに使用し、クラウドベースのプラットフォームを悪用してマルウェアのステージングとコマンド&コントロール(C2)目的で使用していた。電子メールメッセージでは、債務再編や支払い関連の誘引を使用して受信者を騙し、GitHubページ(komunalka.github[.]io)を介してMicrosoft Wordファイル(”Рахунок.docx”)をダウンロードさせようとした。しかし、実際にはRARアーカイブファイル(”Заборгованість по ЖКП.rar”)がダウンロードされ、CVE-2023-38831を悪用してCOOKBOXマルウェアを実行した。このマルウェアは、感染したデバイスに永続的に存在し、DDNSドメインpostdock[.]serveftp[.]comに対してC2のためのPowerShellコマンドレットを実行するように設計されている。
CERT-UAは、UAC-0006として知られる金銭目的のグループによるフィッシング攻撃の増加を警告し、これらの攻撃はSmokeLoaderマルウェアを配布し、その後TALESHOTなどの追加のマルウェアを展開することを目的としている。また、欧州と米国の金融機関を標的としたフィッシングキャンペーンでは、正規のリモートモニタリングおよび管理(RMM)ソフトウェアであるSuperOpsを、人気のあるMinesweeperゲームのトロイの木馬版にパッケージングして配信している。Flashpointの報告によると、ロシアの高度な持続的脅威(APT)グループは、戦術を進化させ、洗練させ、ターゲティングを拡大している。これらのグループは、不正市場で販売されているマルウェアを配信するために、新しいスピアフィッシングキャンペーンを使用してデータと認証情報を盗み出している。
【ニュース解説】
Cloudflareは、ウクライナを狙ったロシア寄りのサイバー攻撃グループ「FlyingYeti」によるフィッシングキャンペーンを阻止したと発表しました。このキャンペーンは、住宅や公共サービスへのアクセス喪失に関する不安を煽り、悪意のあるファイルを開かせることで、PowerShellベースのマルウェア「COOKBOX」に感染させることを目的としていました。この攻撃は、特にウクライナの軍事関連組織を標的にしており、WinRARの脆弱性CVE-2023-38831を悪用しています。
このキャンペーンの特徴は、Cloudflare WorkersとGitHubを利用し、偽の債務再編や支払い関連の誘引を通じて、受信者を騙して悪意のあるファイルをダウンロードさせる点にあります。ダウンロードされたRARアーカイブファイルは、WinRARの脆弱性を利用してCOOKBOXマルウェアを実行します。このマルウェアは、感染したデバイスに永続的に留まり、攻撃者がシステムを遠隔操作するための足掛かりとなります。
このような攻撃は、個人や組織にとって著しいセキュリティリスクをもたらします。マルウェアに感染すると、機密情報の窃取、追加のマルウェアのインストール、さらにはシステム全体の制御権を攻撃者に握られる可能性があります。特に、国家レベルでのサイバー攻撃は、国家安全保障にとっても重大な脅威となり得ます。
この事件は、サイバーセキュリティの重要性を改めて浮き彫りにします。特に、ソフトウェアの脆弱性を定期的にチェックし、最新のセキュリティパッチを適用することの重要性が強調されます。また、不審なメールやリンクには注意を払い、信頼できるソースからのみファイルをダウンロードするなど、個人レベルでのセキュリティ意識の向上も求められます。
長期的な視点では、このようなサイバー攻撃の増加は、国際的なサイバーセキュリティ規制の強化や、国家間での協力体制の構築を促進する可能性があります。また、AIや機械学習などの先進技術を活用したサイバーセキュリティ対策の発展も期待されます。しかし、攻撃者もまた、より巧妙で高度な手法を開発していくため、サイバーセキュリティは常に進化し続ける分野であると言えるでしょう。
from FlyingYeti Exploits WinRAR Vulnerability to Deliver COOKBOX Malware in Ukraine.
