ウクライナをターゲットとした新たな攻撃キャンペーンが観測されています。
こんな感じです。
- ウクライナ語翻訳ソフトを配布する
これそのものがまずマルウェアです。
Pythonで書かれてWindows用にPEバイナリ化されたものとして配布されています。
このマルウェアはdropperです。 - 翻訳ソフトがマルウェアを持ってくる
翻訳ソフトが起動されると、いくつかのマルウェアをダウンロードしてきます。
そのなかにGrimPlantとGraphSteelも含まれます。 - 持ってこられたマルウェアはバックドアである
GraphSteelとGrimPlantはどちらも、最小限のフットプリントと低いアンチウイルス検出率を備えた多用途でクロスプラットフォームのプログラミング言語であるGoで記述されたマルウェアです。
この攻撃ではWindows向けにバイナリ化されています。
どちらのマルウェアにも、ネットワーク偵察、コマンド実行、およびファイル操作が実装されています。
機能が重複しているマルウェアを同じシステムに展開しているという点は、冗長性のための作戦である可能性があります。 - バックドアは高機能である
いずれのバックドアにも一通りの機能が実装されています。
IPアドレスやホスト名などのネットっワーク関連情報の収集、アカウント名などのユーザ情報の収集、リモートコマンド実行機能、暗号化通信によるC2との通信機能を備えています。
永続化機能も搭載しています。
時節柄ウクライナ語の翻訳ソフトを入手したいということはあるように思います。
そこに目を付けた活動です。
また、BitdefenderWindowsUpdatePackage.exeという名前のBitdefenderの更新用ファイルを装ったものも観測されています。
こちらもGrimPlantとGraphSteelのセットを配布するキャンペーンです。
どの攻撃キャンペーンもその時々の状況にあわせた、人の心理状態をうまく悪用する方法で忍び寄ってきます。
「いいもの見つけた」というのは危険ということでしょうか。
参考記事(外部リンク):Threat Actor UAC-0056 Targeting Ukraine with Fake
Translation Software
www.sentinelone.com/blog/threat-actor-uac-0056-targeting-ukraine-with-fake-translation-software/
参考記事(外部リンク):Fake antivirus updates used to deploy Cobalt Strike in
Ukraine
www.bleepingcomputer.com/news/security/fake-antivirus-updates-used-to-deploy-cobalt-strike-in-ukraine/
| この記事をシェア |
|
|---|
