SPICAのおとりPDF作戦

ほぼこもセキュリティニュース By Terilogy Worx

SPICAは、バックドア型マルウェアです。
これは以前からCOLDRIVERが展開しているマルウェアです。
次のような流れでSPICAはやってきます。

  • メールが来る
    被害者候補となっている人に、メールが送られてきます。

     

  • メールに添付ファイル
    送られてきたメールには、ファイルが添付されています。
    ファイル種別はPDFです。

     

  • PDFを開く
    被害者候補の人は、そのPDFを開いて内容を確認しようとします。
    しかし、内容を読むことはできません。
    このPDFには、なんら悪意ある内容は含まれていないのですが、内容が暗号化されたような状態になっており、PDFとして閲覧することはできるのですが、内容の文字は読むことができません。
    このPDFはメール送信者である偽装アカウントが公開しようとしている新しい論説または他の種類の記事として、これらの文書を提示したものですので、受信者はこの内容を確認したいと感じています。

     

  • 見ることができないと返信
    被害者候補の人は、メール送信者に、添付してもらったPDFは読むことができなかったと返信します。
    攻撃者は、これを待っていました。

     

  • 復号化ツールのリンクが来る
    PDFを読むのには、この復号化ツールを使ってください、ということで、攻撃者は被害者候補の人にリンクを送ります。
    リンクはクラウドストレージにあるファイルのURLです。
    このリンク先のファイル名は「Proton-decrypter.exe」です。
    これを入手し実行したとき、被害者候補の人は被害者となります。

その復号化ソフトと思ったものは復号化ソフトではありませんでした。
読むことのできる文字の含まれるPDFを開く機能も持っていますので、表の動きとしては、復号化ソフトとして機能しています。
しかし、裏では、マルウェアとしての活動を展開しています。
ここで設置されるマルウェアがSPICAです。

任意のコマンド実行、ChromeなどのブラウザからのCookieの取得、ファイルのアップロードとダウンロード、ファイルシステム情報の収集などの機能が実装されています。
スケジュールタスクを設置し、これによる永続化も設定されます。
読める方のPDFを被害者が閉じた後も、マルウェアの活動は継続されます。

攻撃者の作戦は、さまざまな新しい取り組みでやってきます。
厳しいですが、慎重に行動し、ひっかからないようにしていくしかなさそうです。

参考記事(外部リンク):Russian threat group COLDRIVER expands its targeting of
Western officials to include the use of malware

blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。