Word テンプレートの悪用:ウクライナを狙うハッカー集団 Gamaredon の新しい手口

Russian hackers target Ukraine with default Word template hijacker

2022/08/15 BleepingComputer — ウクライナへのサイバー攻撃を監視している脅威アナリストたちが、ロシアの国家支援ハッキング・グループ Gamaredon について、紛争で荒廃した同国を激しく攻撃し続けていると報告している。Gamaredon (別名:Armageddon/Shuckworm) は、ロシアのハッカー集団であり、ロシアの連邦保安局 (FSB:Federal Security Service) の第18情報セキュリティ・センターの一部と考えられている。

この脅威グループは、2014年からウクライナを標的としており、同国の主要な公共/民間の事業体に対する、数千件の攻撃に関与してきたと見られている。2022年2月のロシアの侵攻以来、ウクライナへの攻撃は頻度を高めており、その活動には、フィッシング攻撃/新しいマルウェアの亜種の展開などが取り込まれている。

持続的かつ長期的な活動

Broadcom Software 傘下の Symantec が、今日に発表したレポートによると、「ウクライナ侵攻開始からの6ヶ月の間で、Gamaredon の活動は衰えることなく続いており、直近の攻撃の波は 2022年7月15日〜8月8日に発生した」とのことだ。


2022年5月以降の最新の感染経路は、Gamaredon に関連する xsph.ru サブドメインから XML ファイルを配信する、自己解凍型の 7-Zip アーカイブを搭載したフィッシング・メッセージとなる。この XML ファイルは、PowerShell info-stealer の実行につながるものであり、検知回避のために変更が施された複数の亜種も、Symantec は発見している。

さらに、ロシアのハッカーたちは、Gamaredon のトレードマークの1つである、Pterodo/Giddome バックドアを取得するために、VBS ダウンローダーを使用していた。攻撃者たちは、これらのバックドアにより、ホストのマイクを使った音声の録音/スクリーンショットのスナップ/キーストロークのログと流出/追加の .exe や .dll ペイロードのダウンロード/実行などが可能にしている。

また、最近のキャンペーンでは、ハッカーが正規の RDP ツールである Ammy Admin/AnyDesk を展開する様子も観察されている。これらの手口はいずれも目新しいものではなく、Gamaredon が洗練されていないことの証でもあるが、この脅威グループは、持続性と継続的な標的設定でそれを補っている。

感染源となる脆弱なシステム

先週には、ウクライナのコンピュータ緊急対応チーム (CERT-UA) も、感染したメールアカウントから送信された HTM の添付ファイルを用いる、新たなフィッシング・キャンペーンを発見し、最近の Gamaredon の活動についも報告している。

CERT-UA による感染チェーンの調査では、Web ブラウザに保存されたデータを窃取する、PowerShell インフォスティーラーについても報告されている。また、同チームは、特別に細工されたマクロを使用して、ホスト上の Normal.dotm ファイルを変更しようとする、Gamaredon の興味深い手法を発見した。

Remote template injection on the host's Normal.dotm file
ホストの Normal.dotm ファイルへのリモート・テンプレート注入 (CERT-UA)

このファイルは Microsoft Word のデフォルトのテンプレートであり、これを変更すると、侵害されたマシン上で作成された全てのドキュメントに対して、悪意のあるコードを混入される可能性が生じる。

このようにして、Gamaredon は、被害者を新たな感染源として利用していく。また、侵害されたことに気づいていない受信者は、自分を信頼する受信者にマルウェアが混入した文書を開かせる可能性が高いため、特に魅力的な感染源として利用されるだろう。

Microsoft Office のテンプレート・ファイルを狙うという手口は、初めてのケースかと思います。2022年7月21日の「Microsoft の Office マクロ問題:無効化 → 有効化 → 再無効化という紆余曲折」という流れがあり、その後には、7月28日の「Microsoft の Office マクロ対策:ブロック後のハッカーたちの動向を統計値で見る」にあるように、VBA から ISO/RAR/LNK などの、新しいファイル・タイプへと、悪用ファイルが切り替わっています。そう考えると、DOTM もバリエーションの1つなのかもしれません。

%d bloggers like this: