Hackers Using Rogue Versions of KeePass and SolarWinds Software to Distribute RomCom RAT
2022/11/03 TheHackerNews — RomCom RAT のオペレーターは、SolarWinds Network Performance Monitor/KeePass Password Manager/PDF Reader Pro などの、不正なバージョンを悪用するかたちでキャンペーンを進化させ続けている。このオペレーションのターゲットを構成するのは、ウクライナや英国などの英語圏の被害者たちである。BlackBerry Threat Research and Intelligence Team は、「ターゲットの地理的条件と、現在の地政学的状況を考慮すると、RomCom RAT の動機が経済的なサイバー犯罪にあるとは考えにくい」と新たな分析で述べている。
RomCom RAT と呼ばれるリモートアクセス型トロイの木馬を忍び込ませるために、ウクライナの団体を狙ったスピアフィッシング・キャンペーンが展開されていることを、BlackBerry が公表している。今回の調査結果は、それから1週間後に発表されたものだ。
この未知の脅威者については、Advanced IP Scanner と pdfFiller のトロイの木馬化した亜種をドロッパーとして活用し、インプラントを配布していることも確認されている。
今回のキャンペーンでは、類似したドメイン名の偽装 Web サイトを立ち上げ、マルウェアを含む悪意のインストーラをアップロードし、ターゲットとなる被害者にフィッシング・メールを送信するという手口が用いられている。
BlackBerry の研究者たちは、「偽装された SolarWinds のサイトから無料トライアルをダウンロードしている間は、正規の登録フォームが表示される。このフォームに入力すると、本物の SolarWinds の営業担当者が製品をフォローアップのために、被害者に連絡する可能性がある。しかし、それを脅威アクターが行えば、最近にダウンロード/インストールされたアプリケーションが、正当なものであると被害者を誤解させることになる」と述べている。
今回のキャンペーンで悪用されているのは、SolarWinds のソフトウェアだけではない。類似のなりすましバージョンには、人気のパスワード・マネージャーである KeePass や、ウクライナ語にも対応する PDF Reader Pro などが含まれている。
また、Palo Alto Networks の Unit 42 によると、今回の RomCom RAT の展開は、Cuba ランサムウェアや Industrial Spy に関連する脅威アクターに関連しているという。それらのランサムウェア・グループは、星座をテーマにした Tropical Scorpius という名前で追跡されているとのことだ。
サイバー犯罪のエコシステムが相互に関連することを考えると、この2つのアクティビティには、何らかのつながりあるのかもしれない。また、このマルウェアが、他の脅威アクターへのサービスとして提供されている可能性もある。ただし、そのような関連性は、しばらくは不明のままだろう。
文中にあるように、ウクライナなどが標的にされているということは、ロシアなどからの RAT オペレーションの1つと考えて良さそうです。このブログでは初登場の RomCom RAT ですが、関連性が疑われるとされる Cuba に関しては、4月20日の「Microsoft Exchange をハックする Hive ランサムウェア:新たな攻撃手法で被害を拡大」に記載されていました。よろしければ、Ukraine ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.