ロシア軍情報機関傘下のハッカーたちが、侵害したウェブサイト上に偽のCAPTCHA画面を表示し、ウクライナ人の標的をだまして自らのコンピューターに感染させる手口を使い始めていることが、研究者の調査で明らかになりました。
ウクライナのコンピューター緊急対応チーム(CERT-UA)は水曜日に公開した報告書の中で、ロシア政府の支援を受けるハッキング集団Sandwormがウクライナの標的システムへの初期侵入を図る手法に、この春から夏にかけて変化が見られたと述べています。
同機関によれば、Sandwormは「ClickFix」と呼ばれるソーシャルエンジニアリング手法の採用を強めているといいます。この手口では、被害者は侵害されたウェブサイトに誘導され、そこで人間かコンピューターかを判別するためとうたう偽のセキュリティチェック(CAPTCHA)が表示されます。
利用者は自分が人間であることを証明する代わりに、PowerShellのコマンドをコピーしてWindowsパソコンに貼り付けるよう指示されます。このコマンドを実行すると、ハッカーがコンピューターへのアクセスを維持し、後から追加の悪意あるツールを展開できるようにするマルウェアがダウンロードされます。
最初に展開されるマルウェアは「GhettoVibe」と呼ばれ、その後に「ScoutCurl」という偵察ツールが続くことがあります。ScoutCurlはシステム情報やインストール済みソフトウェア、ファイル、ブラウザデータなど感染したコンピューターに関する情報を収集し、攻撃者がその標的をさらに侵害する価値があるかどうかを判断する材料とします。研究者はこのほか、アンチウイルス削除ソフトを装う「FluidLeech」と「LoadLoop」という2種類のマルウェアローダーも確認しています。
CERT-UAによると、6月から7月にかけて10以上の侵害済みウェブサイトでこのClickFixの手口が確認されたということです。同機関は侵害を受けた端末の台数については明らかにしていません。
Sandwormは今回ClickFix攻撃へと軸足を移しつつありますが、従来からの見慣れたソーシャルエンジニアリング手法も引き続き用いています。同機関の警告によると、同グループはセキュリティアプリケーションを装い、メッセージングアプリを通じて配布するマルウェアでAndroid端末も標的にしているといいます。インストールされると、このマルウェアは連絡先やファイル、端末情報、リアルタイムの位置情報などをひそかに収集します。
長年にわたり、Sandwormの主要な手口の一つは、トレントサイトを通じてバックドアを仕込んだMicrosoft WindowsやOfficeのインストーラーを配布することでした。これにより、海賊版ソフトウェアをダウンロードした被害者を静かに侵害することができていました。
CERT-UAによれば、少なくとも1件の事例では、こうした感染を足がかりにハッカーがウクライナ政府ネットワーク内に拠点を築き、その後、中央行政機関を標的とした破壊的なサイバー攻撃を仕掛けていたということです。
ロシアのウクライナ侵攻を通じてSandwormが用いてきたもう一つの手口は、Signalメッセージングアプリを通じて標的を狙うものです。偽のアンチウイルスソフトウェアをインストールするよう仕向ける手口を使っています。CERT-UAによれば、ハッカーは軍関係者などの標的が悪意あるファイルを実行するよう仕向ける前に、数週間かけて信頼関係を築くことが多く、時には指示に従わせる見返りとして金銭を提示することもあったといいます。
Sandwormは、欧米各国政府やサイバーセキュリティ研究者らによってロシア軍情報機関GRUとの関連が指摘されている集団で、少なくとも2013年から活動しており、ウクライナの電力網への攻撃をはじめ、ロシアによる最も注目度の高い破壊的サイバー攻撃の数々に関与してきました。
翻訳元: https://therecord.media/ukraine-sandworm-hacks-captcha-powershell
