日本のサイバーセキュリティ企業トレンドマイクロは、2023年6月にブリュッセルで開催されたWomen Political Leaders(WPL)サミットの参加者および女性政治指導者を標的とする新たな悪意あるキャンペーンを発見した。
脅威アクターであるVoid Rabisuは、トレンドマイクロがRomCom 4.0、MicrosoftがPeapodとして追跡しているRomComバックドアの新バージョンの展開を2023年8月上旬に開始したと、トレンドマイクロは10月13日に公開したマルウェア分析で報告した。
バックドアのペイロードは、政治におけるジェンダー平等の向上を目指すWPLサミットの公式ウェブサイトの悪意あるコピーに隠されていた。
「正規ドメインの『Videos & photos』リンクは、イベントの写真が入ったGoogle Driveフォルダへ訪問者をリダイレクトする一方、wplsummit[.]comの偽サイトは、2つの圧縮ファイルとUnpublished Pictures 1-20230802T122531-002-sfx.exeという実行ファイルを含むOneDriveフォルダへ訪問者を誘導した。後者のファイルはマルウェアの一種であるように見える」と、トレンドマイクロの報告書には記されている。
この手口は、6月に行われたVoid Rabisuの以前のキャンペーンに類似しており、同グループはウクライナ世界会議および2023年7月のNATOサミットを誘い文句として、OfficeおよびWindows HTMLにおけるリモートコード実行の欠陥であるCVE-2023-36884の脆弱性に基づくゼロデイエクスプロイトを展開した。このキャンペーンは7月にMicrosoftによって報告されている。
さらにトレンドマイクロは、Void Rabisuが最新のキャンペーンで、これまで報告されたことのない新しい手法を使用していると指摘した。
その手法は、RomComのコマンド&コントロール(C2)サーバーがTLSを強制する仕組みを用いるもので、RomComインフラの自動的な発見をより困難にし得る。
「私たちは、2023年5月のRomComキャンペーンにおいてVoid Rabisuがこの手法を使用しているのを観測した。このキャンペーンでは、正規のPaperCutソフトウェアの悪意あるコピーが拡散され、C2サーバーは適合していないリクエストを無視していた」と、トレンドマイクロの分析には記されている。
Void Rabisuとは?
Void Rabisuは、Storm-0978、Tropical Scorpius、UNC2596としても知られ、金銭目的と諜報目的の攻撃を行うハイブリッド型の脅威アクターである。
同グループが最初に特定されたのは2022年初頭だが、それ以前から活動していたと考えられている。
当初は、関連するCubaランサムウェアの存在から、金銭目的の脅威アクターと見なされていた。
しかし2022年8月、Cubaランサムウェアはモンテネグロ議会を標的とした攻撃に関与した。これによりセキュリティ研究者は、同グループが地政学的な意図を追求していると推測するようになった。
この仮説はその後、Void Rabisuがウクライナ政府と軍、同国のエネルギーおよび水道などの公益部門、さらにEUの政治家や政府報道官を標的にし始めたことで裏付けられた。
トレンドマイクロは「Void Rabisuは、サイバー犯罪者の脅威アクターが用いる典型的な戦術・技術・手順(TTP)と、主として諜報目的に動機づけられた国家支援型脅威アクターが用いるTTPが混在していることが見て取れる、最も明確な例の一つだ」と述べた。
翻訳元: https://www.infosecurity-magazine.com/news/romcom-backdoor-female-political/
