サイバー攻撃グループがフィンランド拠点のウクライナ対象にマルウェア配信、ステガノグラフィ技術を駆使

Last Updated on 2024-02-27 12:57 by 荒木 啓介

サイバー攻撃グループUAC-0184が、フィンランドに拠点を置くウクライナの対象に対して、IDATローダーマルウェアを使用してRemcosリモートアクセストロイの木馬（RAT）を配信した。この攻撃では、通常あまり見られないステガノグラフィ技術が用いられた。当初、UAC-0184はウクライナ内の対象に焦点を当てていたが、防御策によってペイロードの配信が阻止されたため、代替の対象を探した。

この特定のキャンペーンは2023年初頭に発見され、”racon”という新しいユーザーエージェントタグを持つコード片から始まり、2段階目のペイロードを取得し、接続チェックとキャンペーン分析を実行する。IDATローダー、別名HijackLoaderは、複数のマルウェアファミリーと連携する高度なローダーであり、2023年後半に初めて観察された。IDATローダーは、Portable Network Graphics（PNG）画像ファイル形式内の”image data”チャンクを指し、このローダーは、ステガノグラフィを用いた.PNG画像に埋め込まれたRemcos RATコードを検出し、抽出して実行する。

攻撃者は、DockerSystem_Gzv3.exeという実行可能ファイルを偽のソフトウェアインストールパッケージとして初期ダウンロードし、この実行可能ファイルの活性化により、後続の攻撃段階が引き起こされた。Remcos RATは、被害者のコンピュータへの不正アクセス、感染したシステムのリモート制御、機密情報の窃取、コマンドの実行などを可能にするためにサイバー犯罪者によって使用される。セキュリティ対策を回避するために、攻撃者はますます創造的な技術を使用してRemcos RATを展開している。

【ニュース解説】

サイバー攻撃グループUAC-0184が、フィンランドに拠点を置くウクライナの対象に対して、IDATローダーマルウェアを介してRemcosリモートアクセストロイの木馬（RAT）を配信した事件が発生しました。この攻撃では、通常あまり見られないステガノグラフィ技術が用いられ、攻撃者は防御策を回避するために創造的な手法を採用しています。

ステガノグラフィとは、画像や音声などのメディアファイルに情報を隠蔽する技術であり、このケースでは.PNG画像ファイル内にRemcos RATのコードが隠されていました。攻撃者は、偽のソフトウェアインストールパッケージとして配布された実行可能ファイルを通じて、この画像を被害者のコンピュータにダウンロードさせ、隠されたマルウェアを抽出して実行します。

この攻撃の背景には、サイバー犯罪者がセキュリティ対策を回避するために、ますます高度な技術を駆使している現状があります。特に、Remcos RATのようなリモートアクセストロイの木馬は、被害者のコンピュータに不正アクセスし、機密情報を窃取するなどの目的で使用されます。このような攻撃は、個人や企業にとって重大なセキュリティリスクをもたらします。

この事件から学べることは、サイバー攻撃が日々進化しており、従来のセキュリティ対策だけでは不十分である可能性があるということです。特に、ステガノグラフィのような隠蔽技術を用いた攻撃は、検出が困難であるため、セキュリティ対策の強化とともに、従業員教育を通じての意識向上が重要です。

また、この事件は、国際的なサイバー攻撃の脅威が増大していることを示しており、国境を越えた協力と情報共有の強化が求められます。サイバーセキュリティは、技術的な側面だけでなく、政策や国際関係の側面も含めて、総合的に考える必要があるテーマです。

from UAC-0184 Targets Ukrainian Entity in Finland With Remcos RAT.