Last Updated on 2024-09-27 06:55 by admin
ロシア語を話すサイバー犯罪グループであるRedCurlは、合法的なMicrosoft WindowsコンポーネントであるProgram Compatibility Assistant (PCA)を悪用して、悪意のあるコマンドを実行している。Trend Microによる今月発表された分析によると、Program Compatibility Assistant Service (pcalua.exe)は、古いプログラムとの互換性問題を特定し対処するために設計されたWindowsサービスである。このユーティリティは、代替コマンドラインインタープリタとして使用することで、コマンド実行を可能にし、セキュリティ制限を回避するために悪用される。RedCurlは、少なくとも2018年から活動しており、オーストラリア、カナダ、ドイツ、ロシア、スロベニア、イギリス、ウクライナ、アメリカ合衆国に位置する企業に対して、企業スパイ活動を行っていることで知られている。2023年7月、F.A.C.C.T.は、2022年11月と2023年5月に、主要なロシア銀行とオーストラリアの企業がこの脅威アクターによって標的とされ、機密企業情報と従業員情報が盗まれたことを明らかにした。
Trend Microによる調査では、フィッシングメールに含まれる悪意のある添付ファイル(.ISOおよび.IMGファイル)を使用して、cmd.exeを介してリモートサーバーから合法的なユーティリティであるcurlをダウンロードし、ローダー(ms.dllまたはps.dll)を配信するマルチステージプロセスが開始される。悪意のあるDLLファイルは、PCAを利用してダウンローダープロセスを生成し、curlと同じドメインを使用してローダーをフェッチするための接続を確立する。攻撃には、不正なコマンド実行のためにImpacketオープンソースソフトウェアの使用も含まれる。Earth Kapreとの関連性は、コマンドアンドコントロール(C2)インフラストラクチャーの重複およびグループによって使用される既知のダウンローダーアーティファクトとの類似性から生じる。
このケースは、Earth Kapreという脅威アクターが、PowerShell、curl、Program Compatibility Assistant (pcalua.exe)の悪用などの洗練された戦術を使用して、標的ネットワーク内での検出を回避することに専念していることを示している。また、ロシアの国家支援グループであるTurlaが、.NETベースのKazuarバックドアを展開するために新しいラッパーDLLであるPelmeniを使用し始めたことが明らかにされた。Pelmeniは、SkyTel、NVIDIA GeForce Experience、vncutil、ASUSに関連するライブラリとして偽装され、DLLサイドローディングによってロードされる。この偽装DLLがマシンにインストールされた合法的なソフトウェアによって呼び出されると、Kazuarを解読して起動する。
【ニュース解説】
ロシア語を話すサイバー犯罪グループであるRedCurlが、合法的なMicrosoft WindowsコンポーネントであるProgram Compatibility Assistant (PCA)を悪用して、企業スパイ活動を行っていることが明らかになりました。このグループは、特に古いプログラムとの互換性問題を解決するために設計されたPCAのサービスを、セキュリティ制限を回避し、悪意のあるコマンドを実行するための手段として使用しています。
RedCurlは2018年から活動しており、多国籍の企業を標的にして機密情報を盗み出すことで知られています。このグループの攻撃手法は、フィッシングメールを通じて悪意のあるファイルを送り込み、その後、複数のステップを経て最終的にはPCAを利用して悪意のあるプロセスを実行するというものです。このプロセスには、合法的なユーティリティであるcurlをダウンロードし、悪意のあるDLLファイルを介してPCAを悪用することが含まれます。
この攻撃手法の特徴は、標的のセキュリティシステムを巧妙に回避することにあります。PCAは合法的なWindowsサービスであるため、その活動が不審と判断されにくいのです。さらに、この手法は、企業のネットワーク内での検出を避けるために、PowerShellやcurlなどの他のツールと組み合わせて使用されます。
このような攻撃は、企業にとって重大な脅威をもたらします。機密情報の漏洩は、競争上の不利益や法的な問題、さらには顧客の信頼の損失につながる可能性があります。そのため、企業はセキュリティ対策を強化し、特に合法的なツールやサービスが悪用される可能性に注意を払う必要があります。
また、このニュースは、サイバーセキュリティの分野における攻撃手法の進化を示しています。攻撃者は常に新しい手法を開発し、既存のセキュリティ対策を回避する方法を模索しています。このため、セキュリティ対策も進化し続ける必要があり、企業やセキュリティ専門家は最新の脅威に対する知識を常に更新し、適切な対策を講じることが求められます。
最後に、この攻撃は、国家支援を受けたサイバー攻撃の可能性も示唆しています。特に、ロシアの国家支援グループであるTurlaが新しい手法を使用していることが報告されています。このようなグループによる攻撃は、単一の企業だけでなく、国家の安全保障にも影響を及ぼす可能性があるため、国際的な協力と情報共有がより一層重要になってきます。
from RedCurl Cybercrime Group Abuses Windows PCA Tool for Corporate Espionage.
“RedCurlがWindowsコンポーネント悪用、企業スパイ活動を展開” への1件のコメント
RedCurlのようなサイバー犯罪グループによるMicrosoft WindowsのProgram Compatibility Assistant (PCA)の悪用は、現代のサイバーセキュリティが直面している複雑な課題を浮き彫りにしています。この報告された攻撃手法は、攻撃者が合法的なシステムツールを利用してセキュリティ対策を回避し、企業の機密情報を盗み出すという点で、洗練されていると言えます。特に、PCAのような合法的なコンポーネントが悪用されることは、セキュリティシステムにとって予測が難しく、対処が複雑になります。
この事件は、企業がセキュリティ対策を強化する際に、外部からの攻撃だけでなく、システム内部の合法的なツールやサービスが悪用される可能性にも注意を払う必要があることを示しています。特に、フィッシングメールを通じて悪意のあるファイルを送り込む手法は、従業員のセキュリティ意識の向上と、メールシステムのフィルタリング強化が重要になります。
さらに、このケースは、サイバーセキュリティの分野での攻撃手法の進化を象徴しています。攻撃者は常に新しい手法を開発し、セキュリティ対策を回避する方法を模索しており、それに対応するためには、セキ