Last Updated on 2024-06-01 13:30 by 荒木 啓介
ロシアと連携するサイバー攻撃グループであるFlyingYetiが、ウクライナ市民を狙ってCookboxマルウェアを拡散するためにWinRARの脆弱性を利用したフィッシングキャンペーンを実施している。この攻撃は、政府による立ち退きや未払いの公共料金に関するモラトリアムの解除後のウクライナ市民の経済的困難を悪用することを目的としている。攻撃者は、借金の再構築や支払いに関連する誘引を使用して、被害者に悪意のあるファイルを開かせ、システムにCookboxマルウェアを感染させる。このマルウェアはPowerShellベースで、追加の悪意のあるコマンドやペイロードを実行できる。
フィッシングメールやSignalメッセージは、ウクライナの住宅局Kyiv Komunalkaを装い、Microsoft Wordドキュメントのダウンロードを促す。このドキュメントはGitHubホステッドのサイトからWinRARアーカイブファイルを取得し、WinRARの脆弱性CVE-2023-38831を利用してCookboxマルウェアを実行する。このファイルには、ファイル拡張子を隠すための複数のファイルや、無害なドキュメントとして見えるデコイドキュメントが含まれている。
Cloudflareの監視によると、FlyingYetiはウクライナの共同住宅や公共料金の支払いプロセスに関する広範な偵察を行い、支払いに使用されるQRコードを分析している。攻撃の実行時間を延長し、攻撃者に戦術を繰り返し適応させるCloudflareの継続的な妨害努力により、攻撃者は最終的に今回のキャンペーンを諦めた。しかし、ウクライナはロシアとの継続的な戦争中に様々な脅威アクターによって標的にされており、FlyingYetiが再び現れる可能性がある。
Cloudflareは、フィッシングの脅威に対処するために、ゼロトラストアーキテクチャの基礎を実装し、最新のWinRARとMicrosoftのセキュリティアップデートをシステムにインストールすることを推奨している。また、エンドポイント検出と対応(EDR)ツールを使用し、FlyingYetiの侵害指標(IOCs)をネットワークで検索することで、潜在的な悪意のある活動を特定することができる。
【ニュース解説】
ロシアと連携するサイバー攻撃グループであるFlyingYetiが、ウクライナ市民を狙い、WinRARの脆弱性を利用してCookboxマルウェアを拡散するフィッシングキャンペーンを実施していることが報告されました。この攻撃は、ウクライナ政府による立ち退きや未払いの公共料金に関するモラトリアムの解除後の経済的困難を悪用しています。攻撃者は、借金の再構築や支払いに関連する誘引を使用し、被害者に悪意のあるファイルを開かせ、システムにCookboxマルウェアを感染させる手法を取っています。
このマルウェアはPowerShellベースで、追加の悪意のあるコマンドやペイロードを実行する能力を持っています。フィッシングメールやSignalメッセージは、ウクライナの住宅局Kyiv Komunalkaを装い、被害者にMicrosoft Wordドキュメントのダウンロードを促します。このドキュメントはGitHubホステッドのサイトからWinRARアーカイブファイルを取得し、WinRARの脆弱性CVE-2023-38831を利用してCookboxマルウェアを実行します。
Cloudflareによる監視結果、FlyingYetiはウクライナの共同住宅や公共料金の支払いプロセスに関する広範な偵察を行い、攻撃を精密に計画していたことが明らかになりました。Cloudflareの継続的な妨害努力により、攻撃の実行時間が延長され、攻撃者は戦術を繰り返し適応させられましたが、最終的にはキャンペーンを諦めました。
この事例から、サイバーセキュリティの重要性が改めて浮き彫りになります。特に、ゼロトラストアーキテクチャの基礎を実装し、システムに最新のセキュリティアップデートを適用すること、WinRARファイルの環境への導入を防ぐこと、エンドポイント検出と対応(EDR)ツールの使用、そしてフィッシングの脅威に対する追加のメールセキュリティ対策の重要性が強調されています。
この攻撃は、サイバー攻撃者が絶えず新しい手法を開発し、既存の脆弱性を利用して攻撃を行うことを示しています。そのため、個人や組織は、サイバーセキュリティ対策を常に最新の状態に保ち、潜在的な脅威から自身を守るための意識を高める必要があります。また、このような攻撃は国際的な緊張関係を反映しており、サイバー空間が現代の紛争において重要な戦場となっていることを示しています。
