WinRARの脆弱性を利用して新型バックドアを仕込む攻撃キャンペーンに要注意:セキュリティニュースアラート
BI.ZONEは脅威アクターMysterious Werewolfによる新しいサイバー攻撃キャンペーンを報告した。WinRARの脆弱性を利用し、Telegram経由のRingSpyバックドアの感染を狙うことが明らかにされている。
BI.ZONEは2024年3月27日(現地時間)、脅威アクター「Mysterious Werewolf」の新しいサイバー攻撃キャンペーンについて伝えた。
「WinRAR」の脆弱(ぜいじゃく)性を利用して標的のシステムで悪意あるコードを実行し、最終的に「RingSpy」バックドアを仕込むとしている。バックドアは「Telegram」経由でC2サーバと通信していることにも言及されている。
WinRARの脆弱性を悪用した新型バックドア攻撃に要注意
Mysterious WerewolfはBI.ZONEが2023年から観測しているグループで、主に軍産複合体(MIC)企業を標的としていることが確認されている。Mysterious Werewolfは正規のPDF文書とCMSファイルを含むアーカイブを添付したフィッシングメールを初期攻撃ベクトルとして利用しており、アーカイブを展開して文書をダブルクリックすると最終的にRingSpyバックドアに感染することになる。
今回の新しい発見は、Mysterious Werewolfがサイバー攻撃の初期ベクトルにWinRARの脆弱性(CVE-2023-38831)を利用している点にある。Mysterious Werewolfはこの脆弱性を利用して標的となるシステムにおいて悪意あるコードを実行している。
観測されたキャンペーンでは悪意あるペイロードの実験が行われていることが確認されている。これまでMysterious Werewolfは「Mythic」フレームワークの「Athena」エージェントを使っていたが、今回のキャンペーンでは「Python」で開発されたオリジナルのRingSpyバックドアが使われている。
BI.ZONEは今回の報告で、Mysterious Werewolfがサイバー攻撃手法の開発を継続しており、軍産複合体の重要インフラの最も機密性の高い部分を標的にしていると警告している。同社は「Mysterious Werewolfは侵害したシステムと通信するために正規のサービスを使っており、効果的なエンドポイント保護と24時間体制の監視が必要だ」と指摘している。
関連記事
- ランサムウェアグループがデータ流出に悪用している12の正規ツール
Symantecは、ランサムウェア攻撃に正規ソフトウェアが悪用されているとし、データ流出に使われる12種類のソフトウェアを公開した。 - 「.zip」ドメインの悪用サンプルをセキュリティ研究者が公開 WinRARを模倣
Googleが新しく登録を開始した「.zip」ドメインが詐欺の対象になり得るとセキュリティ研究者が警告している。ある研究者はこのドメインを悪用する例としてWinRARを模したWebページを作成して情報とともに公開した。 - 新ドメイン「.zip」でフィッシングへの悪用が確認 研究者らの懸念が現実に
NetcraftはGoogleの新ドメイン「.zip」がフィッシング詐欺に悪用されたことを確認したと報じた。今後同様の傾向が続く可能性がある。 - 自己解凍型アーカイブを悪用して検出回避する新手法が流行、CrowdStrikeが発見
CrowdStrikeによってサイバー攻撃者が自己解凍アーカイブファイルを悪用する新手法が発見された。現行のセキュリティソフトウェアでは検出が難しいとされており注意が必要だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.