ハープーン攻撃：ユントゥ組織、ロシアの農業・科学機関を標的に

サイバーセキュリティ悪名高いサイバースパイ組織Cloud Atlasによる、ロシアの農業関連企業や国有研究機関を標的にした最近の一連のスピアフィッシング攻撃について、業界は注意を喚起されている。このニュースは、独立系サイバーセキュリティ会社F.A.C.C.T.の報告書によるもので、F.A.C.C.T.は、旧グループIBチームの分裂後、今年初めに設立された。

Yuntu組織は少なくとも2014年から活動しており、Clean Ursa、Inception、Oxygen、Red Octoberなど複数の偽名を使い、その正体は不明のままだ。同組織は、ロシア、ベラルーシ、アゼルバイジャン、トルコ、スロベニアといった国々に対する長年のサイバースパイ活動で悪名高い。

2022年12月、チェック・ポイントとポジティブ・テクノロジーズの2つのセキュリティ企業は、PowerShowerと呼ばれるPowerShellベースのバックドア・プログラムと、攻撃者が制御するサーバーと通信可能なDLLマルウェア・コンポーネントを展開する、Cloud Atlas組織による巧妙な攻撃手法を発見した。

狡猾な手口：古い脆弱性を利用して悪意のあるファイルのダウンロードを誘う

この攻撃は、CVE-2017-11882の脆弱性を悪用した悪意のある文書を含む、一見一般的なおとりメールから始まった。この脆弱性はMicrosoft Officeの数式エディタにおける6年前のメモリ破壊の欠陥で、クラウドグラフの組織は2018年10月に悪意のあるプログラムを実行するために悪用を開始した。

2019年8月のレポートで、カスペルスキーは、「Cloud Graph組織の大規模なスピアフィッシング攻撃キャンペーンは、ターゲットから情報を盗むために、このシンプルでありながら非常に効果的な方法を使い続けている。他の攻撃グループとは異なり、オープンソースのインプラントを使用する代わりに、Cloud Graph組織の最近の攻撃キャンペーンは、ステルス性を高めるためにカスタムマルウェアを使用しています。"

F.A.C.C.T.のレポートによると、今回の攻撃は、Positive Technologiesが以前に発見した攻撃と類似しており、CVE-2017-11882の脆弱性を悪用して悪意のあるRTFテンプレートを注入し、難読化されたHTAファイルをダウンロードして実行するものだという。注目すべきは、これらの攻撃メールは通常、ロシアの人気メールサービスYandex MailやVKのMail.ruから送られてくることです。

悪意のあるHTMLアプリケーションは、次にVisual Basic Script（VBS）ファイルを起動し、最終的にリモートサーバーから未知のVBSコードをダウンロードして実行し、攻撃プロセスを完了させます。

「クラウドマッピングの組織は非常に洗練されており、攻撃のあらゆる側面を指揮している。「このグループの攻撃ツールはここ数年ほとんど変わっておらず、認証を伴う単発のペイロードリクエストや、正規のクラウドストレージやMicrosoft Officeの機能を悪用することで検知を逃れている。

おとり犬に注意：ロシアを狙う別のマルウェア

クラウドマッピング組織の攻撃に加えて、F.A.C.C.T.は、少なくとも20のロシアの組織が攻撃を受けているPupy RATの亜種であるDecoy Dogと呼ばれる別のマルウェアも報告しており、F.A.C.C.T.は、Hellhoundsと呼ばれる別の高度持続的脅威組織によるものだとしている。

このマルウェアは、攻撃者が感染したホストを遠隔操作できるだけでなく、"Lamir Hasabat"（@lahat）というマストドン・アカウントに遠隔測定データを送信するように設計されたスクリプトが付属している。

セキュリティ研究者のStanislav Pyzhov氏とAleksandr Grigorian氏は、「Decoy Dogの最初のバージョンに関する情報が公開された後、マルウェアの作者は、トラフィックやファイルシステムでの検出を大幅に増加させるためにいくつかのステップを踏みました」と述べている。

セキュリティ警告：ハープーン攻撃に注意し、ソフトウェアの脆弱性を常に最新の状態に保つこと

今回の事件は、ユーザーや企業に対し、スピアフィッシング攻撃の危険性を改めて認識させるものである。セキュリティの脆弱性を修正するためにソフトウェアを適時にアップデートすること、信頼できるセキュリティ・ソフトウェアをインストールすること、警戒を怠らないこと、不審な電子メールに注意することは、このような攻撃から身を守るための重要な対策である。