WinRARの脆弱性を利用して新型バックドアを仕込む攻撃キャンペーンに要注意：セキュリティニュースアラート

BI.ZONEは脅威アクターMysterious Werewolfによる新しいサイバー攻撃キャンペーンを報告した。WinRARの脆弱性を利用し、Telegram経由のRingSpyバックドアの感染を狙うことが明らかにされている。

[後藤大地，有限会社オングス]

　BI.ZONEは2024年3月27日（現地時間）、脅威アクター「Mysterious Werewolf」の新しいサイバー攻撃キャンペーンについて伝えた。

　「WinRAR」の脆弱（ぜいじゃく）性を利用して標的のシステムで悪意あるコードを実行し、最終的に「RingSpy」バックドアを仕込むとしている。バックドアは「Telegram」経由でC2サーバと通信していることにも言及されている。

WinRARの脆弱性を悪用した新型バックドア攻撃に要注意

　Mysterious WerewolfはBI.ZONEが2023年から観測しているグループで、主に軍産複合体（MIC）企業を標的としていることが確認されている。Mysterious Werewolfは正規のPDF文書とCMSファイルを含むアーカイブを添付したフィッシングメールを初期攻撃ベクトルとして利用しており、アーカイブを展開して文書をダブルクリックすると最終的にRingSpyバックドアに感染することになる。

　今回の新しい発見は、Mysterious Werewolfがサイバー攻撃の初期ベクトルにWinRARの脆弱性（CVE-2023-38831）を利用している点にある。Mysterious Werewolfはこの脆弱性を利用して標的となるシステムにおいて悪意あるコードを実行している。

　観測されたキャンペーンでは悪意あるペイロードの実験が行われていることが確認されている。これまでMysterious Werewolfは「Mythic」フレームワークの「Athena」エージェントを使っていたが、今回のキャンペーンでは「Python」で開発されたオリジナルのRingSpyバックドアが使われている。

　BI.ZONEは今回の報告で、Mysterious Werewolfがサイバー攻撃手法の開発を継続しており、軍産複合体の重要インフラの最も機密性の高い部分を標的にしていると警告している。同社は「Mysterious Werewolfは侵害したシステムと通信するために正規のサービスを使っており、効果的なエンドポイント保護と24時間体制の監視が必要だ」と指摘している。