ロシアのハッカーグループShuckwormがウクライナのセキュリティ組織を引き続き標的に

セキュリティアナリストは、Broadcomの一部であるSymantecが、ロシアの国家資金によるハッカーグループGamaredon、別名Shuckwormが、刷新されたツールキットと新しい感染技術を使用して、軍事およびセキュリティ機関などのウクライナのセキュリティ組織を引き続き標的にしていると報告しています。

セキュリティアナリストは、脅威の行為者が最近、USBマルウェアを使用して侵害されたネットワーク内のより多くのシステムに広がり始めたと述べています。

以前、FSBに関連するロシアのハッカーは、ウクライナの組織に対して情報窃盗ツールを使用し、独自のPterodoマルウェアのバリアントを使用し、新しい感染のためにデフォルトのWordテンプレートハイジャッカーを利用しているのが目撃されました。

現在、最近のGamaredonの新しい活動でさらに興味深いのは、彼らが人事部門を標的にしていることで、これは脅威の行為者が侵害された組織内でスピアフィッシング攻撃を狙っていることを示唆している可能性があります。

アナリストの報告によると、ロシアのハッカーグループの活動は2月と3月に増加し、Gamaredonは2023年5月まで感染したいくつかのマシンでその存在を感じさせ続けました。

ロシアの国家支援を受けたハッカーグループは、初期感染のためにフィッシングメールに依存しています。脅威の行為者の標的は軍事およびセキュリティ組織であり、組織の人事部門にも焦点を当てています。

脅威の行為者からのフィッシングメールには、SFX、RAR、DOCX、LNK、およびHTAの添付ファイルが含まれています。標的がそれを開くと、添付ファイルはPowerShellコマンドを開始し、脅威の行為者のC2サーバーからPterodoペイロードをダウンロードします。

脅威研究チームであるSymantecは、今年の1月から4月にかけて、さまざまなレベルの難読化を使用し、静的検出ルールを回避するために異なるPterodoダウンロードIPアドレスを指す25のバリアントのPowerShellスクリプトをテストしたと述べています。

読む: Royal RansomwareがBlacksuit Encryptorを使用して企業を攻撃

さて、PowerShellは侵害されたデバイスに自分自身をコピーし、rtk.lnk拡張子を使用してショートカットファイルを作成します。スクリプトによって作成されたLNKはさまざまな名前を取り、いくつかは標的の興味を引くように選ばれています。

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

被害者がこれらのファイルを開くと、PowerShellスクリプトは感染したコンピュータ上のすべてのドライブをリストし、自身をリムーバブルUSBディスクにコピーします。これにより、感染したネットワーク内での横移動の可能性が高まります。

さらに、アナリストはハッカーグループによって侵害されたマシンの1つからfoto.safeファイルを発見しました。このファイルにはbase64エンコードされたPowerShellスクリプトが含まれています。

さて、脅威研究チームによると、マシンは感染したUSBドライブがマシンに接続された後に侵害されました。つまり、USBドライブがどのように感染したのかはまだ不明です。

Symantecは警告し、USBドライブは脅威の行為者によって標的のネットワーク内での横移動に使用される可能性があり、標的組織内でネットワークに接続されていないコンポーネントに到達するのを助けるために利用される可能性があると述べています。

読む: Atomic Walletの侵害が数百万の暗号通貨の盗難につながる