RomCom RATのアクターがウクライナや同国支援者を攻撃か、NATOサミット目前に控え
7月11、12日にリトアニアで開催予定のNATO首脳会合が目前に迫る中、ウクライナの代表者やウクライナを支援する他国の組織などを狙ったフィッシング攻撃が観測された。BlackBerryのインテリジェンスチームによれば、この攻撃はおそらく脅威アクター「RomCom」によるものだと考えられるという。
RomComとは
RomComは2022年5月に初めて発見されたアクターで、「Tropical Scorpius」、「UNC2596」、「Void Rabisu」といった呼び名でも知られ、ウクライナの軍事部隊や地方政府機関、議会などを標的にしているのが観測されている。このような動きを踏まえ、BlackBerryはRomComの正体はロシア政府関連のハッカーグループであろうと考えているという。また最近も、西側諸国と密に連携するウクライナの政治家や、避難民支援に関与する米国の医療組織などがRomComによるサイバー攻撃の被害に遭っている。
ウクライナ世界会議(UWC)になりすますフィッシング
BlackBerryは、ハンガリーのIPアドレスを送信元とするフィッシングのルアードキュメント2点を2023年7月4日に発見。これらはいずれも実在する非営利団体「ウクライナ世界会議(UWC)」を装って作成されており、間近に迫ったNATO首脳会合に関連して、ウクライナを支援するであろう組織への配布を想定したもの。ファイル名はそれぞれ「Overview_of_UWCs_UkraineInNATO_campaign.docx」と「Letter_NATO_Summit_Vilnius_2023_ENG(1).docx」だったという。
脆弱性Follinaの悪用(CVE-2022-30190)
上記の悪意あるワードドキュメントを開くと感染チェーンが開始し、リモートサーバーから複数のペイロードが呼び出される。するとこのペイロードがマイクロソフトMSDTの脆弱性Follina(CVE-2022-30190)を悪用してリモートコード実行を実施するという。
その後最終的に投下されるRomComダウンローダーは、標的システムに関する以下のような情報を収集する。
・デバイスのRAM容量
・ユーザー名
・マシンのネットワークアダプタに関する情報
RomComの活動タイミングはウクライナ関連の重要イベントと一致
BlackBerryの研究者らは以前、RomComグループのキャンペーンがほぼ毎回ロシア・ウクライナ戦争関連の重要なイベント(ゼレンスキー大統領の演説など)の直後に実施されている旨を指摘していた。今回のフィッシング攻撃のタイミングもこのパターンと同様、NATOサミットという重要イベントの時期と重なって発生していることから、攻撃の首謀者がRomComであるというアトリビューションの信憑性はかなり高そうだ。また最近では米国によるウクライナへのクラスター弾供与決定が話題となったが、サイバー脅威ランドスケープに影響を及ぼすであろうロシア・ウクライナをめぐるこのような地政学的な動きには今後も注目したい。
(情報源:BlackBerry ”RomCom Threat Actor Suspected of Targeting Ukraine’s NATO Membership Talks at the NATO Summit”、The Hacker News “RomCom RAT Targeting NATO and Ukraine Support Groups”)