ウクライナの CERT が RoarBAT マルウェアを発見

ウクライナのコンピュータ緊急対応チーム (CERT-UA) は、請求書をテーマにしたおとりを使用して SmokeLoader マルウェアを拡散する進行中のフィッシング キャンペーンを報告しました。電子メールは侵害されたアカウントから送信され、実際にはおとりドキュメントと JavaScript ファイルを含む多言語ファイルである ZIP アーカイブが含まれています。このファイルは SmokeLoader マルウェアを実行するために使用され、その目的は感染したシステムにより効果的なマルウェアをダウンロードすることです。 CERT-UA は、この活動は UAC-0006 によるものであると考えています。UAC-0006 は、認証情報を盗み、許可なく資金を送金しようとする金銭目的の攻撃者です。

さらに、ウクライナのサイバーセキュリティ当局は、CERT-UA が Sandworm グループによるものであると中程度に認定しているグループ UAC-0165 によって実行された、公共部門の組織に対する破壊的攻撃を明らかにしました。この攻撃には、特定の拡張子を持つファイルを再帰的に検索し、正規の WinRAR ユーティリティを使用して削除する、RoarBAT と呼ばれるバッチ スクリプト ベースのワイパー マルウェアが関与していました。このグループはまた、検出を避けるためにファイルをゼロバイトで上書きする bash スクリプトを使用して Linux システムを侵害しました。

この攻撃は、VPN へのリモート接続を行う際に MFA が欠如していたために促進されました。この攻撃による破壊的な影響により、電子コンピューター、サーバー機器、自動化されたユーザーの作業場、およびデータ ストレージ システムに障害が発生しました。

高度な持続的脅威アクターとは何ですか?

Advanced Persistent Threat (APT) 攻撃者は、政府機関、重要なインフラストラクチャ、大企業などの特定のターゲットに対して、長期にわたる対象を絞ったサイバー スパイ活動を実行する、高度なスキルと意欲を持つサイバー攻撃者です。これらの攻撃者は、貴重な知的財産、機密情報、財務データを盗むことを目的として、高度な技術を使用して機密情報やシステムに不正にアクセスします。

APT は通常、スピア フィッシング、ソーシャル エンジニアリング、マルウェア、リモート アクセス ツールなどの戦術を組み合わせて使用し、標的のシステムにアクセスします。 APT 攻撃者は、アクセスを獲得すると、ネットワーク内に足場を確立し、ターゲット環境内を横方向に移動し、データを窃取する間、長期間検出されないままになる可能性があります。

APT 攻撃者は多くの場合、国家の支援を受けており、サイバー作戦をサポートするための重要なリソースを持つ国民国家やその他の大規模組織の支援を受けています。ただし、彼らは金銭的な動機もあり、利益のために貴重なデータを盗もうとする犯罪組織に代わって活動している可能性もあります。

APT 攻撃を防御するには、高度な脅威の検出と対応機能、強力なセキュリティ衛生の実践、不審な動作の兆候がないかネットワーク アクティビティを継続的に監視することなど、多面的なアプローチが必要です。