Last Updated on 2025-04-09 11:19 by admin
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、2025年4月初旬に新たなサイバー攻撃に関する警告を発表した。UAC-0226と呼ばれる脅威グループがウクライナの軍事組織、法執行機関、および地方自治体、特に東部国境付近の機関を標的としたサイバースパイ活動を展開している。
攻撃はマクロ有効のExcelファイル(.xlsm)を含むフィッシングメールを通じて行われ、地雷除去、行政罰、ドローン製造、破壊された財産の補償などの機密性の高いトピックに関連する件名が使用されている。
これらのExcelファイルには悪意のあるマクロが含まれており、ユーザーがマクロを有効にすると、2種類のマルウェアが展開される。1つ目はGitHubリポジトリ「PSSW100AVB」から取得したPowerShellリバースシェルスクリプト、2つ目はGIFTEDCROOKと呼ばれるC/C++で書かれた情報窃取マルウェアである。
GIFTEDCROOKはGoogle Chrome、Microsoft Edge、Mozilla Firefoxなどのウェブブラウザからクッキー、閲覧履歴、保存された認証情報などの機密データを窃取する。
フィッシングメールは侵害されたアカウントから送信され、多くの場合はウェブメールを介して送信されることで、メッセージに正当性を持たせている。
この発表は、ロシア関連のスパイ活動者UNC5837が2024年10月にヨーロッパの政府および軍事組織を標的としたRDPを悪用するフィッシングキャンペーンを実施したという報告と時期的に近い。CERT-UAはこの活動をUAC-0215として追跡しており、他の研究機関はロシアのAPT29に帰属させている。
CERT-UAは、システム管理者にメールとウェブサーバーのログの完全性と深さを確認するよう勧告している。
from:UAC-0226 Deploys GIFTEDCROOK Stealer via Malicious Excel Files Targeting Ukraine
【編集部解説】
サイバー攻撃の手法が日々進化する中、今回のUAC-0226による攻撃は、特に注目に値します。この攻撃は、ウクライナの重要機関を標的にしており、国家安全保障に直接影響を与える可能性があります。
GIFTEDCROOKという新たな情報窃取マルウェアの登場は、サイバーセキュリティ業界に警鐘を鳴らしています。このマルウェアは、主要ブラウザからデータを窃取する能力を持ち、個人情報や機密データの漏洩リスクを高めています。
特筆すべきは、攻撃者がオープンソースツールを活用している点です。これは、サイバー攻撃の民主化が進んでいることを示唆しており、今後さらに多様な脅威が出現する可能性があります。
この攻撃手法の特徴として、フィッシングメールの巧妙さが挙げられます。侵害されたアカウントを使用し、ウェブメールを介して送信することで、メッセージの信頼性を高めています。これは、従来の対策では検出が困難な手法であり、新たなセキュリティ対策の必要性を示しています。
また、この攻撃がウクライナの東部国境付近の機関を重点的に狙っていることは、地政学的な背景を示唆しています。サイバー空間が国家間の緊張関係の新たな戦場となっていることを改めて認識させられます。
今回の事例は、組織のセキュリティ体制の見直しを促すきっかけとなるでしょう。特に、マクロ有効のExcelファイルの取り扱いには細心の注意が必要です。また、従業員のセキュリティ意識向上や、多層防御の重要性が再認識されています。
今後、このような高度な標的型攻撃はさらに増加すると予想されます。組織は、常に最新の脅威情報を収集し、セキュリティ対策を更新し続ける必要があります。同時に、国際的な協力体制を強化し、サイバー攻撃に対する共同対処能力を高めることが求められています。
【用語解説】
UAC-0226
ウクライナのCERT-UAが追跡している脅威アクターグループの識別コード。「UAC」はウクライナの脅威アクターコードを表し、国家支援型と思われるサイバー攻撃グループを指す。
GIFTEDCROOK
今回新たに発見された情報窃取マルウェア。C/C++で開発されており、ブラウザからの認証情報やクッキーなどを窃取する機能を持つ。
RDP (Remote Desktop Protocol)
マイクロソフトが開発したリモートデスクトップ接続のためのプロトコル。遠隔地からコンピュータを操作するために使用される。
APT (Advanced Persistent Threat)
高度持続的脅威。長期間にわたって特定の標的に対して執拗に攻撃を仕掛ける高度な脅威アクター。多くの場合、国家支援型のハッカー集団を指す。
スピアフィッシング
特定の個人や組織を標的にした、カスタマイズされたフィッシング攻撃。
リバースシェル(Reverse Shell)
攻撃者が被害者端末をリモート制御するための通信手法。
PowerShellスクリプト
Windows標準の自動化用スクリプト。管理権限取得やバックドアに悪用されやすい。
情報窃取型マルウェア(InfoStealer)
ブラウザ、メッセンジャー、仮想通貨ウォレットなどから個人情報を抽出するマルウェア。
マクロマルウェア
Microsoft Officeのマクロ機能を悪用し、感染やコード実行を行う悪質ファイル。
【参考リンク】
CERT-UA (ウクライナコンピュータ緊急対応チーム)(外部)
ウクライナのサイバーセキュリティインシデント対応を担当する政府機関。サイバー脅威に関する警告や分析情報を提供している。
Google Threat Intelligence Group (GTIG)(外部)
Googleのサイバー脅威分析チームによるブログ。最新のサイバー脅威動向や攻撃手法の分析情報を公開している。
FreeRDP(外部)
RDPプロトコルのオープンソース実装。Windows、Linux、macOSなど複数のプラットフォームで利用可能なリモートデスクトップクライアント。
MITRE ATT&CK(外部)
サイバー攻撃者の戦術・技術・手順(TTP)をまとめたナレッジベース。セキュリティ対策の参考として広く利用されている。
【編集部後記】
サイバー攻撃の手法は日々進化しています。皆さんの組織ではマクロ付きExcelファイルの取り扱いルールはどのようになっていますか?また、フィッシングメール対策として、どのような訓練や教育を実施されていますか?セキュリティは技術だけでなく、人の意識も重要です。ぜひSNSで皆さんの取り組みや疑問をシェアしていただければ幸いです。最新のセキュリティ情報を共有し、共に学んでいきましょう。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
