Last Updated on 2024-06-10 17:32 by 荒木 啓介
サイバーセキュリティ研究者は、Sticky Werewolfとして知られる脅威アクターがロシアとベラルーシの対象にサイバー攻撃を拡大していることを明らかにした。この攻撃は、製薬会社、微生物学およびワクチン開発を扱うロシアの研究所、および航空セクターを含む、政府機関を超えた対象に向けられた。攻撃キャンペーンでは、WebDAVサーバーに保存されたペイロードを指すLNKファイルを含むアーカイブファイルが使用された。Sticky Werewolfは、Cloud Werewolf、Quartz Wolf、Red Wolf、Scaly Wolfなど、ロシアとベラルーシを標的とする多数の脅威アクターの一つであり、2023年10月に初めて文書化され、2023年4月以降に活動していると信じられている。
以前の攻撃では、NetWireリモートアクセストロイの木馬(RAT)の展開につながる悪意のあるペイロードへのリンクを含むフィッシングメールが利用されていた。最新の攻撃キャンペーンでは、RARアーカイブ添付ファイルが使用され、これを展開すると2つのLNKファイルとビデオ会議への招待状を装ったデコイPDFドキュメントが含まれている。LNKファイルのいずれかを開くと、WebDAVサーバーにホストされたバイナリの実行がトリガーされ、最終的に最終ペイロードを注入するAutoItスクリプトを実行するオブスキュレートされたWindowsバッチスクリプトが起動される。このキャンペーンの最終目標は、RhadamanthysやOzone RATなどの情報窃取マルウェアとコモディティRATを配信することである。
Sticky Werewolfグループの特定の国家起源を指し示す決定的な証拠はないが、地政学的文脈は、プロウクライナのサイバー諜報グループまたはハクティビストとの可能性のあるリンクを示唆している。また、BI.ZONEは、ロシアの教育、製造、IT、防衛、航空宇宙工学セクターを対象とした300回以上の攻撃の背後にあるとされるSapphire Werewolfという活動クラスターを明らかにした。この会社は、2024年3月にも、Remote Utilities、XMRigマイナー、WarZone RAT、およびRingSpyと呼ばれる特注のバックドアを配布するためにスピアフィッシングの誘惑を使用したFluffy WolfとMysterious Werewolfというクラスターを発見した。RingSpyバックドアは、敵がコマンドを遠隔で実行し、その結果を取得し、ネットワークリソースからファイルをダウンロードすることを可能にする。このバックドアのコマンドアンドコントロールサーバーはTelegramボットである。
【ニュース解説】
サイバーセキュリティの研究者たちは、Sticky Werewolfと呼ばれる脅威アクターがロシアとベラルーシの様々な組織を対象にサイバー攻撃を拡大していることを明らかにしました。これまで政府機関が主な標的でしたが、最新の攻撃キャンペーンでは製薬会社、微生物学およびワクチン開発を扱う研究所、航空セクターなど、より広範な分野へとその範囲を広げています。攻撃手法としては、RARアーカイブ添付ファイルを介して、LNKファイルを用いた方法が採用されており、これにより最終的に情報窃取マルウェアやリモートアクセストロイの木馬(RAT)が配信されます。
この攻撃の背後にいるSticky Werewolfグループの正確な起源は不明ですが、地政学的な文脈からプロウクライナのサイバー諜報グループやハクティビストとの関連が示唆されています。このような攻撃は、国家間の緊張関係や政治的な動きと密接に関連しており、サイバー空間での対立が現実世界の対立を反映していることを示しています。
サイバー攻撃の技術的な側面に目を向けると、攻撃者はセキュリティソフトウェアを回避し、分析を困難にするために高度な手法を用いています。例えば、オブスキュレートされたWindowsバッチスクリプトやAutoItスクリプトを使用して最終ペイロードを注入する方法は、攻撃の検出を避けるための工夫が見られます。また、Telegramボットをコマンドアンドコントロールサーバーとして使用することで、通信を隠蔽し、追跡を難しくしています。
このような攻撃の拡大は、対象となる組織にとってはもちろん、広範囲にわたるセキュリティ上のリスクを示しています。特に、製薬会社や研究所など、重要な情報を扱う組織が標的になることで、知的財産の盗難や研究成果の流出など、深刻な影響が生じる可能性があります。また、航空セクターへの攻撃は、交通インフラの安全性に対する脅威となり得ます。
一方で、このような攻撃の増加は、サイバーセキュリティの重要性を改めて浮き彫りにしています。組織は、フィッシングメールや悪意のあるファイルへの警戒を強化するとともに、セキュリティ対策を継続的に更新し、従業員への教育を強化する必要があります。また、国際的な協力を通じてサイバー脅威に対抗する枠組みを強化することも、今後ますます重要になってくるでしょう。
from Sticky Werewolf Expands Cyber Attack Targets in Russia and Belarus.
