ウクライナの防衛機関に対してバックドア マルウェアが使用される

DeliveryCheck (CAPIBAR または GAMEDAY とも呼ばれる) という名前の新しい .NET ベースのバックドアが特定され、特にウクライナと東ヨーロッパの防衛部門をターゲットにしています。この高度なバックドアには、後続のペイロードを配信する機能があります。

この攻撃は、アイアン・ハンター、シークレット・ブリザード（旧クリプトン）、ウロボロス、ヴェノマス・ベア、ウォーターバグなど、さまざまな名前で呼ばれるトゥルラと呼ばれるロシアの国民国家主体によるものであると考えられている。トゥルラ氏はロシア連邦保安局（FSB）と関係があることが知られている。攻撃ベクトルには、悪意のあるマクロを含むドキュメントを利用して、電子メール経由で DeliveryCheck を配布することが含まれます。 DeliveryCheck は、侵入すると、スケジュールされたタスクを通じて持続し、メモリにダウンロードして実行します。さらに、コマンド アンド コントロール (C2) サーバーと通信して、XSLT スタイルシートに埋め込まれた任意のペイロードの起動などのタスクを取得します。

最初の攻撃はKazuar Implantを使用します

場合によっては、最初のアクセスには、Kazuar として知られる既知の Turla インプラントの配布が伴います。このインプラントは、Web ブラウザからアプリケーション構成ファイル、イベント ログ、およびさまざまなデータを盗むための機能を備えています。これらの攻撃の主な目的は、Windows 上の Signal メッセージング アプリからメッセージを窃取し、攻撃者が標的のシステム上の機密の会話、ドキュメント、画像にアクセスできるようにすることです。

DeliveryCheck の重要な側面は、Windows システムの自動構成を容易にするプラットフォームである PowerShell Desired State Configuration (DSC) を使用してサーバー側コンポーネントをインストールすることにより、Microsoft Exchange サーバーを侵害できることです。これにより、DSC は、埋め込み .NET ペイロードをメモリに読み込む PowerShell スクリプトを含むマネージド オブジェクト フォーマット (MOF) ファイルを生成し、正規のサーバーを悪意のある C2 センターに効果的に変換できるようになります。

ウクライナ、プロパガンダボットファームを閉鎖

並行して、ウクライナのサイバー警察は大規模なボットファームの解体に成功し、100人以上がロシア侵略を正当化する敵対的なプロパガンダの拡散に関与したとしている。このグループは、ウクライナ国民の個人情報の漏洩や、さまざまな詐欺計画の実行にも関与していた。この作戦の一環として、21か所で捜索が行われ、その結果、コンピューター機器、携帯電話、250台以上のGSMゲートウェイ、およびさまざまな携帯電話会社に属する約15万枚のSIMカードが押収された。