Last Updated on 2024-10-18 11:02 by admin
ロシアの脅威アクターグループ「RomCom」(別名:Storm-0978、Tropical Scorpius、UAC-0180、UNC2596、Void Rabisu)が、2023年後半から少なくとも2024年10月まで、ウクライナ政府機関と一部のポーランド組織を標的としたサイバー攻撃を行っていることが明らかになった。
この攻撃では、RomCom RATの新しい亜種「SingleCamper」(別名:SnipBot、RomCom 5.0)が使用されている。SingleCamperはレジストリから直接メモリにロードされ、ローダーとの通信にループバックアドレスを使用する特徴がある。
攻撃チェーンは、スピアフィッシングメールから始まり、C++またはRustで書かれたダウンローダーを経由して、「ShadyHammock」と「DustyHammock」というバックドアをデプロイする。これらのバックドアは、SingleCamperの起動や追加のコマンド実行を担う。
RomComは、長期的なネットワークアクセスの確立とデータ窃取を主な目的としており、スパイ活動の意図が明確に示されている。また、ランサムウェアの展開に移行する可能性も指摘されている。
この調査結果は、サイバーセキュリティ企業Cisco Talosによって2024年10月に公開された。Cisco Talosはこの活動クラスターを「UAT-5647」として追跡している。
from:Russian RomCom Attacks Target Ukrainian Government with New SingleCamper RAT Variant
【編集部解説】
RomComの活動は、2022年頃から確認されていましたが、最近になってその攻撃の規模と複雑さが増しています。当初は金銭目的の攻撃が主でしたが、現在はサイバースパイ活動にシフトしているようです。これは、単なるサイバー犯罪グループから、国家支援型の脅威アクターへと進化している可能性を示唆しています。
特に注目すべきは、RomComが使用している新しいマルウェア「SingleCamper」です。このマルウェアは、システムのレジストリから直接メモリにロードされるという高度な手法を用いています。これにより、従来のセキュリティソフトウェアによる検出が困難になっています。
また、RomComの攻撃手法の進化も見逃せません。スピアフィッシングメールを入り口とし、複数の段階を経て最終的なペイロードを配信するという多層的なアプローチを取っています。これは、セキュリティ対策の強化に対応するための戦略と言えるでしょう。
このような高度な攻撃は、単に標的となった組織だけでなく、国際的な安全保障にも影響を及ぼす可能性があります。特に、ウクライナとその同盟国を狙った攻撃は、現在進行中のロシア・ウクライナ紛争の文脈で見る必要があります。
一方で、このような脅威の存在は、サイバーセキュリティ技術の更なる発展を促す契機にもなります。例えば、AIを活用した異常検知システムや、ゼロトラストアーキテクチャの導入が加速する可能性があります。
企業や組織にとっては、このような高度な脅威に対応するため、セキュリティ対策の見直しが急務となっています。特に、従業員のセキュリティ意識向上や、多層防御の導入が重要になるでしょう。