Kasperskyの研究者は月曜日、悪名高いイタリア拠点の監視技術企業ハッキングチームの後継企業に関連するマルウェアキャンペーンを発見したと発表し、同時に同じ企業に関連する新たな商用マルウェアも発見したと述べました。
Kasperskyが「Operation ForumTroll」と名付けたこのマルウェアキャンペーンは、ロシアの政府機関、報道機関、金融機関、大学、研究センター、その他の組織を標的とし、スパイ活動を行うことが目的であると見られています。これは高度な持続的脅威(APT)キャンペーンであると特定されており、この用語は通常、国家レベルの攻撃者に用いられます。
ハッキングチームは2000年代初頭から2019年まで活動しており、その後買収され、Memento Labsにリブランドされました。Kasperskyは月曜日のブログ記事で、2022年に遡るマルウェア感染の波を3月に検出し、それがMemento Labsに関連していると述べました。
Kasperskyによると、そのマルウェアを分析する中で、Memento Labsが開発した「Dante」として知られるこれまで未発見の商用スパイウェア製品が見つかったとのことです。
Kasperskyは、被害者がメール経由でパーソナライズされたフィッシングリンクをクリックした際にマルウェア感染が発生したと述べています。それは、国際的な政治・経済サミットであるPrimakov Readingsの科学・専門家フォーラムの主催者からの招待状を装っていました。
「感染を開始するために追加の操作は必要ありませんでした。Google Chromeや他のChromiumベースのウェブブラウザで悪意のあるウェブサイトを訪問するだけで十分でした」とKasperskyは記しています。「悪意のあるリンクはパーソナライズされており、検出を避けるため非常に短命でした。」
このキャンペーンは、Google Chromeのゼロデイ(以前は知られておらず未修正の)脆弱性を悪用していました。Kasperskyによると、Googleは通知を受けた後、この脆弱性にパッチを適用しました。
Memento Labsは、月曜日にコメントを求めるメールや電話にすぐには応じませんでした。
検出されたにもかかわらず、この展開はMemento Labsにとって有望なものとなる可能性があります。同社はハッキングチームからの変革直後、苦戦しているとされており、イタリアがスパイウェア技術の温床となっている中で最も著名なスパイウェアメーカーでした。
ロシアに本社を置くKasperskyの発見は、今月2度目となるスパイウェアとロシアの標的の混在を示すものであり、ZimperiumによるClayRatに関する発表に続くものです。
Operation ForumTrollマルウェアキャンペーンとDanteスパイウェアの間には一部重複がありましたが、完全に一致するものではなかったとKasperskyは記しています。
「ForumTroll APTグループがOperation ForumTrollキャンペーンでDanteを使用しているのは確認できませんでしたが、このグループに関連する他の攻撃でDanteの使用を観測しています」とブログ記事は述べています。「特に、この攻撃とDanteが関与する他の攻撃との間には、類似したファイルシステムパス、同じ永続化メカニズム、フォントファイル内に隠されたデータ、その他の細かな点など、いくつかの小さな類似点が見られました。最も重要なのは、エクスプロイト、ローダー、Dante間で共有されている類似したコードを発見したことです。」
翻訳元: https://cyberscoop.com/hacking-team-dante-spyware-kaspersky/
