CommonMagic Malware Implants Linked to New CloudWizard Framework
2023/05/19 InfoSecurity — CommonMagic マルウェア・インプラントは、ロシアーウクライナ紛争に関連する未知の APT キャンペーンで採用されており、新しいモジュラー・フレームワークを用いるものだ。そして、関連が疑われる CloudWizard という名のフレームワークが、Kaspersky のセキュリティ研究者により発見され、今日のアドバイザリで説明されている。
CloudWizard のコードの一部が、CommonMagic と同じ暗号化ライブラリを使用し、同様のファイル命名形式をとり、被害場所を共有していることを、研究者である Leonid Bezvershenko と Georgy Kucherin と Igor Kuznetsov が指摘している。
また、Operation Groundbait/Operation BugDrop という名の悪意のキャンペーンも、このアクティブな脅威アクターが担当していると考えられている。
研究者たちによると、CloudWizard の被害者はウクライナのドネツク/ルガンスク/クリミア地域に限らず、中央/西部地域にも広がっているという。標的に含まれるのは、個人/外交機関/研究機関などである。
CloudWizard が影響するは9種類のモジュールは、ファイル収集/キーロギング/スクリーンショット撮影/マイク録音/パスワード窃盗などであり、さまざまなハッキング機能をまとめて提供している。また、ブラウザのデータベースから Gmail のクッキーを抽出し、対象のアカウントに関連する活動ログ/連絡先リスト/メールメッセージにアクセスして流出させることも可能だ。
今回の調査結果について Georgy Kucherin は、「一連のオペレーションを担当してきた脅威アクターは、15年以上にわたって継続的にツールセットを強化し、関心のある組織をターゲットとしたサイバースパイ行為に、継続的に取り組んでいることが示唆される。地政学的な要因は、APT 攻撃の重要な動機であり続け、ロシアとウクライナの紛争地域の緊張が続いていることから、この脅威アクターは、これからも活動を継続すると予想される」とコメントしている。
先日にロシア政府は、ウクライナの同盟国に機密情報が漏れる可能性を最小限に抑えるため、外国企業が開発/運営するメッセージング・アプリを、政府関係者は使用できなくなると発表していた。それから数カ月後に、今回の Kaspersky のレポートは発表された。
つい先日の 2023/05/10 の「Snake はロシア FSB 由来:米政府が無効化した最強のスパイツールとは?」で、ロシアン APT の優秀さが解説されていましたが、この CloudWizard というフレームワーウも、出来が良さそうです。よろしければ、APT で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.