ロシアの国家機関や産業組織がデータ窃取性能持つカスタムバックドアの標的に | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Threat Report > ロシアの国家機関や産業組織がデータ窃取性能持つカスタムバックドアの標的に

ロシアの国家機関や産業組織がデータ窃取性能持つカスタムバックドアの標的に

10月25日:ロシア-ウクライナ関連ニュース

ロシアの国家機関や産業組織がデータ窃取性能持つカスタムバックドアの標的に

BleepingComputer – October 24, 2023

ロシアの国家機関や主要産業の諸組織が情報窃取性能を持つカスタムバックドアを用いた攻撃の標的になっていたと、カスペルスキーが報告。スパイ活動を支援するのが目的とみられるこのキャンペーンが最初に発見されたのは2023年6月。攻撃は悪意あるARJアーカイブを含んだフィッシングメールによって開始され、Go言語で書かれたカスタムバックドアが展開されていた。同バックドアには以下のような機能があるとされる。

 

・指定されたディレクトリ内のファイルおよびフォルダをリストアップする機能

・ホストからC2へファイルを転送(抽出)する機能

・クリップボードコンテンツを取得する機能

・デスクトップのスクリーンショットを撮影する機能

・特定の拡張子(.doc、.docx、.pdf、.xls、.xlsx、.ppt、.pptx、.zip、.rar、.7z、.odt、.ods、.kdbx、.ovpn、.pem、.crt、.key)のファイルをディスクから検索し、C2に転送する機能

 

その後8月中旬、カスペルスキーは同バックドアの新亜種を発見。この新たなバージョンには新しいファイル窃取性能が加わっているほか、複数種のWebブラウザ(ロシアで人気のYandex含む27種)やメールクライアントThunderbirdに保存されたユーザーパスワードを標的にするモジュールも追加されているという。なお、このキャンペーンが何者によって行われたものなのかは不明。

ウクライナサイバー当局、Smokeloader用いた金融/政府機関への攻撃が「急増」と警告

The Record – October 25th, 2023

ロシアのサイバー犯罪者と思われるアクターたちがマルウェア「Smokeloader」を使ってウクライナの金融/政府関連組織を攻撃するケースが増えていると、ウクライナのサイバーセキュリティ当局NCSCCが警告。Smokeloaderのオペレーターらは今年5月からウクライナ組織へフィッシング攻撃を仕掛けており、システムを侵害しようとしたり機微な情報を盗み出そうとしたりしているという。NCSCCが観測した最近のキャンペーンにおいては、国家機関や民間組織、金融機関の主に会計部門を狙って「綿密に作られた」フィッシングメールが送信されていた。このメールには一見すると無害な財務関連の文書が添付されているが、騙された受信者がこれを開くとSmokeloaderに感染してしまう。Smokeloaderは主に他のマルウェアをダウンロードするというローダーの役割を果たすが、それだけでなく認証情報の窃取、DDoS攻撃の実行、キーストロークの傍受といった多様な性能も備える。

NCSCCは同キャンペーンを特定のハッカーグループと関連付けることはしていないが、ロシアのドメインレジストラの優勢さからは、ロシアのサイバー犯罪グループが関与している可能性があることが示唆されていると述べた。一方で5月には、ウクライナのコンピューター緊急対応チーム(CERT-UA)がSmokeloaderの活動と脅威アクター「UAC-0006」との関連を指摘していた。

関連記事:CERT-UAがSmokeLoaderを配布する進行中のキャンペーンについて注意喚起

ウクライナ保安局、ハクティビストと協力してロシア最大の民間銀行をハッキング

The Record – October 24th, 2023

親ウクライナ派のハッカーグループKibOrgとNLBは先週、ウクライナ保安局(SBU)と協力してロシア最大の民間銀行であるアルファ銀行をハッキングし、氏名、生年月日、口座番号、電話番号を含む顧客3,000万人分超のデータを盗み出したという。SBU内部の情報筋もThe Recod紙に対し、同局がこの作戦に関与したことを認めている。アルファ銀行はウクライナ侵攻開始後に米国の制裁対象となり、銀行オーナーであるミハイル・フリードマン氏は米国およびヨーロッパのブラックリストに掲載されている。アルファ銀行を侵害したハッカーらは盗んだとされるデータの一部をネット上に公開しているが、これにはフリードマン氏とその息子のほか、ロシアのラッパー2人に関する情報も含まれるという。なお、アルファ銀行はデータリークの報道を否定している、とTASS通信は伝えている。

ウクライナの諜報機関がハクティビストと協力して作戦を実施するのは今回が初めてではなく、過去にもハッカーによってリークされた文書を使ったサイバーインテリジェンスの取り組みが実施されていた。SBUサイバー部門の長官はサイバーインテリジェンスが敵の極秘文書を入手する際に有用であることに触れ、「かつてはそういった資料を入手するために敵国内でスパイを雇わねばならなかったが、これはリスキーな上に無駄に時間がかかるプロセスだった」と述べたとのこと。

関連記事:脅威インテリジェンスの国内における活用例と活用のヒント