Ukrainian CERT Discloses New Data-Wiping Campaign
2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。
最初の侵害は、被害者を騙して、マルウェア Vidar を取り込んだ Advanced IP Scanner ソフトウェアをダウンロードさせることで達成される。ロシア側の IAB (Initial Access Brokers) により実行されたというのが、CERT-UA の見解である。
CERT-UA は、「Telegram のセッション・データを盗む、Vidar の存在に注意してほしい。それにより、2FA とパスコードが設定されてない場合には、被害者のアカウントへの不正アクセスが可能になる。その結果、被害者の Telegram は、VPN 接続の設定ファイルをユーザーに転送するために使用され、それらのファイルには証明書や認証データが含まれることが判明した。したがって、VPN 接続を確立する際に 2FA は回避され、攻撃者は企業ネットワークへ不正アクセスが獲得することができた」と説明されている。
企業ネットワークへの侵入に成功した攻撃者は、Netscan ツールで偵察作業を行い、Cobalt Strike Beacon を起動し、Rclone プログラムを使ってデータを流出させていた。この段階では、脅威アクターが Anydesk/Ngrok を使用していた形跡が発見された。
2022年春以降から、複数のウクライナの組織が、このキャンペーンの影響を受けたと考えられているが、どれほど広範囲に及んでいたかは不明だ。もっとも CERT-UA は、同キャンペーンの最終目的は身代金による利益獲得ではなく、被害者の環境の破壊であることを確認している。
同チームは、「マルウェア Somnia も変化を遂げている。最初のバージョンでは、対称型 3DES アルゴリズムが使用されていたが、第2バージョンでは、AES アルゴリズムが実装されている。同時に、鍵と初期化ベクターのダイナミクスを考慮すると、攻撃者の理論的計画により、このバージョンの Somnia は、データ復号化の可能性を排除している」と結論づけている。
ロシアによるデータ破壊行為としては、2022年3月15日の「CaddyWiper という新たなデータワイパー:ウクライナのネットワークを攻撃」という記事があります。そのタイミングは、2月24日のウクライナ侵攻の直後であり、また、文中には「CaddyWiper は、2022年に入ってからウクライナ攻撃で展開された、4番目のデータワイパー・マルウェアである」という記述があります。また、11月4日の「Microsoft の 2022 Digital Defence Report:ロシア対ウクライナのハイブリッド戦争の影響」には、「紛争が始まった当初に、ウクライナ政府がデータとワークロードをクラウドに移行することを決定し、そのプロセスを Microsoft が支援した」と記されています。今日の記事にある、新たな展開により、ロシアは何を目指すのでしょうか。
IoT OT Security News 
You must be logged in to post a comment.