概要
サイバー犯罪者は、ウクライナの公式CERT-UAウェブサイトを模倣した偽サイトを使用して、悪意のあるソフトウェアをセキュリティツールとして装ったフィッシングキャンペーンを展開しています。このキャンペーンでは、政府機関や金融機関、教育機関、医療施設、IT企業などが標的となっています。
攻撃の詳細
サイバー犯罪者は、CERT-UAの公式ウェブサイトを模倣した偽サイトを使用し、「CERT_UA_protection_tool.zip」や「protection_tool.zip」という名前のパスワード保護アーカイブをダウンロードするようユーザーに促すメールを送信しました。これらのメールは、アーカイブが「専門の保護ツール」を含んでいると偽装していますが、実際にはAGEWHEEZEというマルウェアであるリモートアクセストロジェン(RAT)を配布します。
AGEWHEEZEの機能
この攻撃で使用されたAGEWHEEZEは、Go言語で書かれた多機能なRATです。実行後、マルウェアは攻撃者が感染したシステムに対して広範囲にわたる制御を提供します。
- コマンドの実行とファイルの管理
- スクリーンショットの取得とユーザー活動の監視
- マウスやキーボード入力のシミュレーション
- クリップボードデータへのアクセス
- プロセスとシステムサービスの管理
AGEWHEEZEは、%APPDATA%\SysSvc sysSvc.exeや%APPDATA% service .service.exeなどのディレクトリにインストールされ、継続的な存在を確保します。また、「SvcHelper」と「CoreService」などのスケジューリングタスクを作成して、昇格した権限を維持します。
CERT-UAの対応
CERT-UAは、このキャンペーンに関連する脅威アクターとしてUAC-0255を特定しました。さらに、Telegramチャンネル「Cyber Serp」が3月28日に攻撃に対する責任を公に認めました。
影響と対策
CERT-UAは、このキャンペーンの成功度は低く、感染件数も限定的であることを報告しています。しかし、教育機関の従業員が使用する個人デバイスを中心に感染が確認されています。
組織への対策
CERT-UAは、組織に対して以下の措置を講じることでサイバー攻撃に対する防御力を強化することを推奨しています:
- ソフトウェア制限ポリシー(SRP)やAppLockerなどのビルトイン保護の設定
- メールとダウンロードソースの真贋確認
- 怪しいドメインのブロックとアウトバウンド接続の監視
- RAT行動を検出できるエンドポイント保護ツールの使用