PicassoLoader マルウェア
情報セキュリティの専門家は、ウクライナとポーランドを標的とした一連のサイバー攻撃キャンペーンを特定した。サイバー犯罪者は、政府機関、軍事組織、民間ユーザーを侵害することに重点を置いています。これらのキャンペーンは、機密データを不正に取得し、侵害されたシステムへの継続的なリモート アクセスを確立することを目的としています。
この侵入キャンペーンは、2022 年 4 月から 2023 年 7 月までの期間にわたり、さまざまな戦術を利用しています。フィッシングルアーやおとりドキュメントは、被害者を欺き、PicassoLoader として知られるダウンローダー マルウェアの展開を容易にするために使用されます。この脅威的なソフトウェアは、他の危険なツール、特にCobalt Strike Beacon やnjRATを起動するためのゲートウェイとして機能します。
フィッシングルアーは、個人をだましてユーザー名、パスワード、アカウント資格情報などの機密情報を開示させるために使用される欺瞞的な手法です。おとりドキュメントは、正規のもののように見えるように設計された偽装ファイルですが、実際には安全でないペイロードが含まれています。被害者にこれらのおとりドキュメントを操作させることで、攻撃者はシステム上で PicassoLoader ダウンローダーを実行できます。
PicassoLoader が正常に展開されると、それは攻撃の次の段階への経路として機能します。これにより、Cobalt Strike Beacon と njRAT という 2 つの追加タイプのマルウェアのインストールと実行が可能になります。 Cobalt Strike Beacon は、攻撃者が不正アクセスを取得し、侵害されたシステムを制御できるようにする高度な侵入テスト ツールです。 njRAT に関しては、攻撃者に感染システムへの不正なリモート アクセスを提供し、検出されずに悪意のある活動を実行できるようにするリモート アクセス トロイの木馬です。
目次
PicassoLoader マルウェアは多段階感染チェーンの一部として導入される
PicassoLoader の背後にいる攻撃者は、多段階の感染チェーンを利用して有害な活動を実行しました。初期段階では、侵害された Microsoft Office ドキュメントが使用されており、最も一般的に使用されているのは Microsoft Excel および PowerPoint のファイル形式でした。これらの文書は攻撃の開始点として機能します。
Office ドキュメントに続いて、実行可能なダウンローダーとペイロードがイメージ ファイル内に隠されています。この戦術は、セキュリティ システムにとってダウンローダーとペイロードの検出をより困難にするために採用されたと考えられます。攻撃者は、画像ファイル内に隠すことでセキュリティ対策を回避し、侵入が成功する可能性を高めることを目指しています。
これらの攻撃の一部は、GhostWriter として知られる脅威アクターによるものと考えられており、UAC-0057 または UNC1151 としても追跡されています。 GhostWriter の動機と目的はベラルーシ政府の利益と一致すると考えられています。
ウクライナに対する多数の標的型攻撃が観測される
これらの攻撃の一部は、ウクライナのコンピュータ緊急対応チーム (CERT-UA) によって過去 1 年間にすでに文書化されていたことは言及する価値があります。注目すべき例の 1 つは 2022 年 7 月に発生し、マクロを含む PowerPoint ドキュメントがAgent Teslaマルウェアの配信に使用されました。この事件では、マルウェアを配布し、被害者のシステムを侵害する手段としてマクロが使用されていることが浮き彫りになりました。
これらの攻撃で使用される感染チェーンは、ソーシャル エンジニアリング手法に依存して、Office ドキュメント内のマクロを有効にするよう被害者を説得します。マクロが有効になると、VBA マクロがトリガーされ、PicassoLoader DLL ダウンローダーの脅威が展開されます。次に、このダウンローダーは、攻撃者が制御するサイトとの接続を確立し、一見正当な画像ファイル内に埋め込まれている次段階のペイロードを取得します。最終的なマルウェアはこのイメージ ファイル内に隠されています。
CERT-UA によるこれらの最近の開示は、SmokeLoader マルウェアを配布するいくつかのフィッシング操作に関する報告と同時に行われます。さらに、Telegram ユーザーをターゲットにして、アカウントを不正に制御することを目的としたスミッシング攻撃も確認されました。
GhostWriter はウクライナを標的としたサイバー犯罪グループの 1 つにすぎない
ウクライナは、悪名高いロシアの国民国家グループAPT28を含む複数の脅威アクターの標的となっています。 APT28 は、HTML 添付ファイルを含むフィッシングメールを送信し、受信者を騙して UKR.NET と Yahoo! に不審なアクティビティがあると信じ込ませるという戦術を採用していることが観察されています。アカウント。このメールはユーザーにパスワードの変更を促しますが、その代わりに、ログイン資格情報を収集するように設計された偽のランディング ページに誘導します。
この最近の進展は、ロシア軍事情報局(GRU)関連のハッカーの活動で観察される広範なパターンの一部である。彼らは、ウクライナに対する破壊的作戦において「標準的な5段階戦略」を採用しており、攻撃の速度、規模、強度を強化するための意図的な努力を示している。
