概要:ForumTrolによる新たな攻撃
APTグループであるForumTrolが、ロシアの学術機関を標的とした洗練されたフィッシングキャンペーンで再浮上しました。この作戦は、以前にGoogle Chromeのゼロデイ脆弱性「CVE-2025-2783」を悪用して注目を集めましたが、今回の攻撃では巧妙なソーシャルエンジニアリング戦術と商用レッドチームフレームワークに重点を置いています。
Kaspersky GReATの研究者が2025年10月にこの新たなキャンペーンを発見しました。この攻撃は、ロシアの学術界で広く利用されている正規の電子図書館「eLibrary」を装い、特に政治学、国際関係、国際経済学を専門とする学者を狙っています。
周到な準備と標的型アプローチ
このキャンペーンの特徴は、脅威アクターによる綿密な準備にあります。悪意のあるドメイン「e-library[.]wiki」は、フィッシングメール送信の6ヶ月以上前の2025年3月に登録されていました。これは、ドメインの評判を確立し、メールのスパムフィルターを回避するための戦略と考えられます。攻撃者はさらに、正規のeLibraryホームページのレプリカをホストし、標的の典型的なワークフローや信頼するリソースに対する広範な偵察を示しました。
キャンペーン全体で顕著なパーソナライゼーションも際立っています。フィッシングメールは個々の被害者向けにカスタマイズされ、ダウンロードされるアーカイブファイル名も「LastName_FirstName_Patronymic」という形式で被害者の名前が含まれていました。これにより、初期のセキュリティ審査を回避するような正当性の外観を作り出しています。
技術的な洗練と戦術の転換
このキャンペーンで展開された悪意のあるアーカイブには、セキュリティ分析を妨害するように設計された、巧妙に作成された感染チェーンが含まれていました。被害者名が付けられた悪意のあるショートカットファイルは、攻撃者のインフラからペイロードをダウンロードするPowerShellスクリプトをトリガーしました。
注目すべきは、攻撃者がダウンロードをWindows環境のみに制限し、繰り返しファイルをダウンロードすることを防止するアンチ分析保護を実装していた点です。これは、セキュリティ研究者の典型的な分析方法を意識していることを示唆しています。
感染プロセスは、COMハイジャックを通じて永続性を確立しました。これは、ForumTrolの2025年春のキャンペーン手法を再現する技術です。最終的なペイロードは、OLLVM難読化されたローダーであり、リモートアクセスと広範なシステム侵害機能を提供する公開されているレッドチームツール「Tuoniフレームワーク」を展開しました。
ForumTrolの春のキャンペーンでは、システム侵害にゼロデイ脆弱性を悪用しましたが、秋の攻撃ではソーシャルエンジニアリングへの戦術的な転換が見られます。これは、高度なエクスプロイトチェーンに依存するのではなく、信頼できる学術リソースを操作して被害者の関与を促すという計算されたアプローチを反映しています。
継続的な脅威評価と対策
偽の盗作レポートの使用や、コミュニケーションの標的型性質は、ForumTrolのオペレーターが被害者の専門的な活動や研究分野に関する詳細な情報を保有していることを示唆しています。この情報収集能力は、国家支援アクターまたは潤沢な資金を持つサイバー犯罪組織からの潜在的な支援を示しています。
Kasperskyの研究者は、ForumTrolが今後もロシアおよびベラルーシの組織や個人を標的とし、ゼロデイエクスプロイトと洗練されたソーシャルエンジニアリングキャンペーンの両方を活用し続ける可能性が高いと評価しています。少なくとも2022年以降に実証されたこのグループの運用継続性、およびDanteのような商用スパイウェアフレームワークやTuoniのようなレッドチームツールへのアクセスは、彼らが東欧の機密標的に対する持続的かつ進化する脅威であることを位置付けています。
組織は、信頼できるプラットフォームからの通信の検証を強調するセキュリティ意識向上トレーニングを優先すべきです。また、セキュリティチームはForumTrolのインフラ指標を監視し、堅牢なメール認証メカニズムを実装する必要があります。