RomCom Group Targets Ukraine Supporters Ahead of NATO Summit
2023/07/10 InfoSecurity — NATO 首脳会議が開催される数日前に、ウクライナを支援する組織や個人を狙う標的型サイバー・キャンペーンが、RomCom により開始されたと報じられている。BlackBerry Threat, Research and Intelligence チームは、この巧妙な作戦を発見し、本日の未明に発表されたアドバイザリで説明している。同チームによると、7月4日に RomCom グループがオトリとして使用した、2つの偽装文書を発見したとのことだ。
BlackBerry のアドバイザリには、「私たちの内部テレメトリ測定/ネットワーク・データ分析および、独自に収集したサイバー兵器などに基づき、このキャンペーンの背後にいる脅威アクターたちには、6月22日に最初の訓練を実行したようだ。また、このレポートに記載されている Command and Control (C2) が登録され、現実の攻撃の数日前にも試用されたと考えられる」と記されている。
同社によると、このキャンペーンで用いられた悪質なファイルは、海外でウクライナを支援する組織や、NATO 首脳会議に出席する個人を欺き、危険にさらすために設計されたものだという。RomCom が採用した手口は、地政学的な背景を利用して、主要な国際イベントを悪意の活動に活用するという、このグループの能力を強調するものだという。BlackBerry のチームは、RomCom グループが利用した主な感染経路として、スピアフィッシングを疑っている。
ウクライナの世界会議組織になりすまし、ウクライナを支援する偽のロビー活動文書を作成することで、脅威アクターたちは標的を欺き、機密情報への不正アクセスを狙っていた。
この攻撃の武器として使用されたのは、悪意の文書内に埋め込まれた RTF ファイルと OLE オブジェクトである。これらのファイルを開くと、被害者のマシンは VPN/Proxy サービスに関連する、疑わしい IP アドレスとの接続を確立する。そして、被害者と脅威アクターの間の通信は、主に HTTP と SMB サービスを介して行われていた。
RomCom グループは、その高度なサイバー・キャンペーン技術で有名であり、今回の作戦で観察された手口は、彼らの以前の攻撃と類似していると、BlackBerry は指摘している。
さらに BlackBerry は、NATO 首脳会議を目前に控えたタイミングでの攻撃は、ウクライナの NATO 加盟の可能性をめぐる議論を悪用しようとする、このグループの意図を強調していると付け加えている。
同社は、「議題のひとつは、ウクライナの将来における加盟の可能性である。ウクライナのゼレンスキー大統領は参加を確認した」と報告している。
先日には Symantec のサイバー・セキュリティ専門家が、スパイ集団 Shuckworm による、ウクライナの標的への新たな攻撃に対して警告を発していた。その数週間後に、今回の BlackBerry のアドバイザリが公表された。
この RomCom が登場する記事としては、2023/05/31 の「RomCom RAT と Void Rabisu の関連性:サイバー犯罪と APT 攻撃の境界線は曖昧?」と、2022/11/03 の「RomCom RAT を展開する新たな動き:KeePass や SolarWinds の偽サイトに御用心」がありました。前者のタイトルにあるように、一般的なサイバー攻撃と、APT による攻撃の境目が曖昧になっていますが、今回の NATO への攻撃に関しては、その目的は明らかですね。
IoT OT Security News 
You must be logged in to post a comment.