AceCryptor マルウェア

AceCryptor ツールに関連した新たな感染例が多数発生しており、懸念すべき傾向が示されています。このツールは、マルウェアを偽装し、従来のマルウェア対策防御では検出されずにシステムに侵入できるため、ハッカーに好まれており、ヨーロッパ全土の組織を対象としたキャンペーンで利用されています。 AceCryptor の活動を長年監視してきた研究者は、この最近のキャンペーンに独特の変化があることを観察しています。これまでの例とは異なり、攻撃者はエクスプロイト内にバンドルする改ざんコードの範囲を拡大し、標的となったエンティティに対する脅威を増大させています。

AceCryptor は有害な後期段階の脅威の配信に使用されています

AceCryptor は一般に、ウクライナの組織に対する攻撃で頻繁に使用される強力なリモート監視ツールとして機能するRemcosやRescoms などのマルウェアと組み合わせられています。研究者らは、Remcos やよく知られたSmokeLoader と並んで、 AceCryptor がSTOP/Djvu RansomwareやVidar Stealerの亜種を含む他のマルウェア株を広めていることを観察しました。

さらに、研究者らは、標的となった国における明確なパターンに注目しています。 SmokeLoader はウクライナでの攻撃に関与していましたが、ポーランド、スロバキア、ブルガリア、セルビアでの事件では Remcos が使用されました。

綿密に組織化されたキャンペーンにおいて、AceCryptor はヨーロッパの複数の国を標的とするために利用され、機密情報を抽出したり、さまざまな企業への初期アクセスを確立したりすることを目的としています。これらの攻撃におけるマルウェアの配布はスパムメールを通じて行われることが多く、その中には非常に説得力のあるものもありました。場合によっては、正規の電子メール アカウントがハイジャックされ、誤解を招くメッセージを送信するために悪用されることがありました。

最新の作戦の主な目的は、標的となった企業に対するさらなる攻撃を目的とした電子メールとブラウザの認証情報を取得することです。特に、記録された AceCryptor インシデントの大部分は、これらの攻撃の最初の侵害点として機能しています。

AceCryptor のターゲットは 2023 年を通じて切り替わる

2023 年の 6 か月間で、AceCryptor を満載したマルウェアの主な影響を受けた国はペルー、メキシコ、エジプト、トルコで、ペルーは 4,700 件の攻撃の矢面に立たされました。しかし、今年後半の顕著な変化として、ハッカーはヨーロッパ諸国、特に 26,000 件以上の攻撃に耐えたポーランドに焦点を移しました。ウクライナ、スペイン、セルビアも数千件の攻撃を受けた。

今年後半には、Rescoms が AceCryptor 経由で配布される主要なマルウェア ファミリとして浮上し、32,000 件を超えるインシデントが発生しました。このうち半数以上をポーランドが占め、次いでセルビア、スペイン、ブルガリア、スロバキアとなった。

ポーランドの企業を標的とした攻撃でも同様の件名があり、多くの場合、被害を受けた企業に関連する B2B オファーを装っていました。ハッカーは、信頼性を高めるために、電子メールに本物のポーランドの会社名と既存の従業員の ID を利用しました。これらの攻撃の背後にある動機は依然として曖昧です。ハッカーが盗んだ資格情報を個人的に悪用することを目的としているのか、それとも他の脅威アクターに販売することを目的としているのかは不明です。

現在のところ、入手可能な証拠は、攻撃キャンペーンが特定のソースによるものであることを明確に示すには至っていません。ただし、ロシア政府と提携しているハッカーが、作戦に Remcos と SmokeLoader を繰り返し使用していることは注目に値します。