Last Updated on 2024-07-02 10:38 by admin
「Unfurling Hemlock」と名付けられた東欧の脅威アクターが、米国、ドイツ、ロシアなど複数の国の個人のシステムに最大10種類のユニークなマルウェアファイルを同時に配布するために、サイバー版クラスター爆弾を使用している。この攻撃手法は、Microsoft Cabinet (CAB) ファイルを他の圧縮されたCABファイル内にネストさせることにより、情報窃取ツールやマルウェアローダーなどの様々なマルウェアを被害者のシステムに配布する。
2023年2月以降、この敵対者は世界中の約50,000人のユーザーのシステムに数十万のマルウェアファイルをこの方法で配布している。使用されているマルウェアには、Mystic Stealer、Rise Pro、Redlineなどの情報窃取ツールと、SmokeLoader、Amadeyなどのローダーが含まれる。Outpost24の研究者によると、これまでに感染したシステムの半数以上(50.8%)が米国に基づいている。
Unfurling Hemlockは、メールを介して、または他の脅威グループに属するマルウェアローダーを通じて、そのクラスター爆弾マルウェアを配布している。攻撃は通常、「weextract.exe」という正当なWindows実行可能ファイルの実行から始まり、この実行可能ファイルには、各レベルにマルウェアサンプルと別の圧縮ファイルが含まれている。最終段階で抽出されたファイルは逆順に実行され、最も最近抽出されたマルウェアが最初に実行される。
この攻撃者は、Windows Defenderやその他のエンドポイント脅威検出および対応(EDR)システムを無効にするためのオブフスケーターやツールも配布している。Outpost24は、他の脅威アクターも将来的にUnfurling Hemlockと同様または類似の手法を使用してマルウェアを配布するようになると予想している。
【ニュース解説】
東欧の脅威アクター「Unfurling Hemlock」が、複数の国の個人のシステムに対して、最大10種類のユニークなマルウェアファイルを同時に配布するために、サイバー版クラスター爆弾を使用しているという報告があります。この攻撃手法は、Microsoft Cabinet (CAB) ファイルを他の圧縮されたCABファイル内にネストさせることにより、情報窃取ツールやマルウェアローダーなどの様々なマルウェアを被害者のシステムに配布するものです。
2023年2月以降、この敵対者は世界中の約50,000人のユーザーのシステムに数十万のマルウェアファイルをこの方法で配布しています。使用されているマルウェアには、Mystic Stealer、Rise Pro、Redlineなどの情報窃取ツールと、SmokeLoader、Amadeyなどのローダーが含まれます。これまでに感染したシステムの半数以上(50.8%)が米国に基づいているとのことです。
この攻撃は、メールを介して、または他の脅威グループに属するマルウェアローダーを通じて、そのクラスター爆弾マルウェアを配布しています。攻撃は通常、「weextract.exe」という正当なWindows実行可能ファイルの実行から始まり、この実行可能ファイルには、各レベルにマルウェアサンプルと別の圧縮ファイルが含まれています。最終段階で抽出されたファイルは逆順に実行され、最も最近抽出されたマルウェアが最初に実行されます。
この攻撃手法の特徴は、一つの初期ファイルから複数のマルウェアを展開し、被害者の情報を盗み出し、さらに追加のマルウェアを被害者のマシンにロードする能力にあります。これにより、攻撃者は一度に複数の目的を達成することが可能になります。
このような攻撃手法は、防御側にとっては非常に扱いが難しく、マルウェアの根絶を確認することが困難になります。特に、二段階目のツールが独自のコマンドアンドコントロールシステムを持っている場合、完全な感染の根絶を確認することが特に難しくなります。
この攻撃手法の登場は、サイバーセキュリティの基本に注意を払い続けることの重要性を改めて示しています。防御側は、既知のマルウェアに対する対策だけでなく、新たな攻撃手法にも迅速に対応できるよう、常に警戒を怠らないことが求められます。また、このような攻撃手法の出現は、将来的に他の脅威アクターも同様または類似の手法を使用する可能性があることを示唆しており、サイバーセキュリティの分野における新たな課題となり得ます。
from Multi-Malware 'Cluster Bomb' Campaign Drops Widespread Cyber Havoc.
